�ݺ�ߣ

Seminario tecnico - Commissione ICT
L’affidabilità delle strutture ICT critiche
Parte 2 - Architetture ICT e soluzioni organizzative
per BC e DR, standard, normativa banche e PA
Alessandro Alessandroni
Lead Auditor ISO 22301
componente Commissione Sicurezza ICT
alessandroalessandroni@gmail.com
12 marzo 2014

12 marzo 2014
Indice degli argomenti:
1. La progettazione delle soluzioni tecniche e organizzative per
BC e DR
2. I principali standard internazionali
3. La normativa per gli intermediari finanziari
4. La normativa per le pubbliche ammnistrazioni
pag. 2
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”

12 marzo 2014
1- La progettazione delle soluzioni
tecniche e organizzative
pag. 3

12 marzo 2014
1- La progettazione delle soluzioni
tecniche e organizzative
pag. 4
fasi del processo di BCM
(dalla metodologia ABI-Lab)

12 marzo 2014
pag. 5
analisi dell’impatto (BIA)
• Individuazione dei processi necessari a produrre i beni ed erogare i servizi
della organizzazione
• Valutazione dell’impatto nel tempo della indisponibilità del processo
• Definire i tempi entro i quali ripristinare i diversi processi
• Individuazione delle risorse ICT (data center, linee TLC, server, storage,
applicazioni, personale ICT, ecc.) e dei fornitori terzi di servizi che
supportano i processi
• Definire i requisiti di continuità:
– ripristino sistemi ICT (Recovery Time Obiective, RTO)
– salvaguardia dei dati (Recovery Point Obiective, RPO)

12 marzo 2014
pag. 6
fasi del disastro RPO e RTO
t-1 t2t1t0 t3
Operazioni
Normali
Servizio
Ripristinato
Dati
persi
Ricostruzione dei
Dati persi
Dati
Recuperati
Preparazione
Soluz. Recovery
Diagnosi Fase di Recovery
FUORI USO DEL CED
!
RPO
RTO ICT
RTO

12 marzo 2014
pag. 7
soluzioni di High Availability (HA) nel sito primario

12 marzo 2014
pag. 8
DR
in caso di disastro non basta HA: soluzioni di DR

12 marzo 2014
pag. 9
RTO
costi soluzioni DR in funzione del RTO

12 marzo 2014
pag. 10
soluzioni di DR
In base ai requisiti RPO/RTO e agli scenari di disastro, si sceglie:
la soluzione per l’allineamento dei dati:
Trasferimento periodico dei supporti
Trasferimento on-line periodico
Replica asincrona
Replica sincrona
Il tipo di risorse elaborative nel sito di DR:
Cold site
Warm site
Hot site
Clustering geografico
il numero di siti (2 o 3) , distanza e localizzazione
le caratteristiche infrastrutturali del DATA CENTER (antismicità, ridondanza impianti
elettrici, condizionamento, …)
le caratteristiche della rete TLC (banda disponibile, ridondanza..)

12 marzo 2014
pag. 11
RTO
livelli di soluzioni di DR (Tier)

12 marzo 2014
pag. 12
trend tecnologici nelle soluzioni di DR
Virtualizzazione
semplifica la replica e il ripristino dei sistemi con minori tempi e
costi
Cloud Computing
per PMI e piccole amministrazioni soluzioni cloud di “DR as a
Service”
Deduplicazione dei dati
replica più efficiente dei dati in rete (minore larghezza di banda,
tempi e costi minori)

12 marzo 2014
pag. 13
costo CED in funzione della disponibilità
(livelli TIA-942)

12 marzo 2014
pag. 14
caso a tre siti con campus
Disastro localizzato
TIER 6
RPO, RTO = 0
Disastro esteso
TIER 4
RPO < 5 min.
RTO < 72 ore
Replica asincrona
> 200 Km

12 marzo 2014
pag. 15
caso a tre siti con sito bunker (1/2)

12 marzo 2014
pag. 16
caso a tre siti con sito bunker (2/2)

12 marzo 2014
pag. 17
struttura organizzativa: compiti
• Predisporre tutte le misure necessarie per ridurre l’impatto di
un’emergenza
• Mettere a disposizione risorse alternative a quelle non disponibili
• Governare il sistema durante l’emergenza
• Gestire il rientro alla normalità
Comitato di gestione della crisi
Gruppo di supporto
Gruppo di assistenza
agli utenti
Gruppo di coordinamento tecnico

12 marzo 2014
pag. 18
componenti del PIANO BC /DR
• Piano di DR, per la gestione della situazione di reale emergenza;
• Piano di Test, per la simulazione periodica del recovery e verifica dell’efficacia della soluzione;
• Piano di Gestione Ordinaria, per la quotidiana manutenzione e controllo della soluzione.

12 marzo 2014
2- I principali standard internazionali
pag. 19

12 marzo 2014
La rilevanza sempre maggiore assunta dalle problematiche relative al processo di
gestione della Business Continuity ha portato recentemente alla pubblicazione di alcuni
standard specifici:
ISO 22301:2012 (“Societal security -- Buisiness continuity management systems –
Requirements”), deriva in grande parte da BS 25999 del 2006
La norma specifica i requisiti per implementare, gestire e migliorare un sistema
documentato di Business Continuity Management (BCMS) per preparare l’azienda a
fronteggiare gli eventi distruttivi quando essi si verificano
ISO 22313:2012 (“Societal security. Business continuity management systems. Guidance”)
La norma fornisce una guida generale basata su best practices mondiali per la
pianificazione, la implementazione, la gestione e il miglioramento costante di un sistema
documentato di gestione della Business Continuity.
pag. 20
standard relativi a BC e DR

12 marzo 2014
ISO/IEC 27031:2011 (“Information technology — Security techniques — Guidelines for
information and communication technology readiness for business continuity”).
La norma del tipo “buone pratiche” emessa nel 2011 è specificatamente dedicata alle
componenti ICT dell’organizzazione, ripercorre quanto previsto nella ISO 22301
contestualizzandolo all’ICT; deriva in grande parte da BS 25777
ISO/IEC 24762 (“Information technology — Security techniques — Guidelines for
information and communications technology disaster recovery services”); uno standard
emesso nel 2008 (del tipo “buone pratiche”) che fornisce le indicazioni per progettare,
realizzare e gestire i servizi di Disaster Recovery dell’ICT
pag. 21
standard relativi a BC e DR (ICT)

12 marzo 2014
SICUREZZA ICT
•ISO/IEC 27001:2013 (“Information technology — Security techniques — Information
security management systems – Requirements”)
• fornisce i requisiti di un sistema di gestione della sicurezza ICT
•include tra gli obiettivi di controllo la “information security continuity”
•ISO/IEC 27002:2013 (“Information technology — Security techniques — Code of practice
for information security management”) standard del tipo “buone pratiche”
GESTIONE SERVIZI ICT
•ISO/IEC 20000-1:2011 (Information technology – Service Management – Part 1:
Specification)
•fornisce i requisiti di un sistema di gestione dei servizi ICT
•include tra i servizi la gestione della continuità dei servizi
•ISO/IEC 20000-2:2012 (Information technology – Service Management – Part 1: Code of
practice) standard del tipo “buone pratiche”
pag. 22
Standard collegati

12 marzo 2014
Contesto della organizzazione
Leadership
Pianificazione
Supporto
Business Impact Analysis (BIA):
Risk Assessment (RA):
Strategia di business continuity
Piani di business continuity e DR:
Esercitazioni e test
valutazione delle prestazioni
Miglioramento
pag. 23
principali punti dello standard ISO 22301

12 marzo 2014
La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che
rendono obbligatorio per gli intermediari finanziari la realizzazione di un
piano di continuità (Business Continuity Plan – BCP)
Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi
aziendali più importanti continuino a funzionare o siano ripristinati in
tempi accettabili.
il piano deve essere aggiornato e, almeno annualmente, è soggetto a
verifiche e controlli da parte sia di funzioni interne (BC Manager,
Compliance, Internal Audit, Collegio Sindacale) sia esterne (Banca
d’Italia). pag. 24
linee guida e Best Practice

12 marzo 2014
Internazionali
(2002) Stati Uniti - Sarbanes-Oxley (SOX): società di capitale quotate negli USA
(2006) Europa - EURO-SOX: società di capitale
(2001) Europa - Basilea 2 e (2007) Basilea 3: banche
Nazionali
(2003) Garante per la protezione dei dati personali per tutti i soggetti che trattano
dati personali
(2004) Banca di Italia per il settore bancario
(2010) Codice Amministrazione digitale per la pubblica amministrazione
pag. 25
norme che richiedono soluzioni di CO e DR

12 marzo 2014
3 - La normativa per gli
intermediari finanziari
pag. 26

12 marzo 2014
pag. 27
iniziative BdI e ABI
• La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che rendono
obbligatorio per gli intermediari finanziari la realizzazione di un piano di
continuità (Business Continuity Plan – BCP)
• Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi
aziendali più importanti continuino a funzionare o siano ripristinati in tempi
accettabili.
• il piano deve essere aggiornato e, almeno annualmente, è soggetto a verifiche
e controlli da parte sia di funzioni interne (BC Manager, Compliance, Internal
Audit, Collegio Sindacale) sia esterne (Banca d’Italia).

12 marzo 2014
pag. 28
le norme di BdI
• Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in
http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13)
• Banca d’Italia, “Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento”,
2004, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/linee/Linee_guida_SSP.pdf
• Banca d’Italia , “Linee guida per la continuità di servizio dei mercati all’ingrosso e dei sistemi di supporto”, ottobre
2004, in http://www.bancaditalia.it/sispaga/sms/docum/prinstasorv/guidelines/Linee_Guida_B_C_28ottobre2004.pdf
• Banca d’Italia, “Disposizioni di vigilanza - requisiti particolari per la continuità operativa dei processi a rilevanza
sistemica”, marzo 2007, in
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/requisiti_processi_rilevanza_sistemica.pdf
• Banca d’Italia, “Terms of Reference (ToR) per la continuità operativa”, 4 dicembre 2007, in
http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/tor/TOR_Business_continuityt.pdf
• Nuove disposizioni di vigilanza prudenziale per le banche (Circ. n. 263 del 27 dicembre 2006) – 15° aggiornamento
“Sistema dei controlli interni, sistema informativo e continuità operativa”
https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf

12 marzo 2014
pag. 29
scenari di crisi
• distruzione o inaccessibilità di strutture nelle quali sono allocate
unità operative o apparecchiature critiche;
• indisponibilità di sistemi informativi critici;
• indisponibilità di personale essenziale per il funzionamento dei
processi aziendali;
• interruzione del funzionamento delle infrastrutture (tra cui energia
elettrica, reti di telecomunicazione, reti interbancarie, mercati
finanziari);
• alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi
perpetrati dall'esterno attraverso reti telematiche;

12 marzo 2014
pag. 30
contenuti principali del piano di CO
• modalità per:
– la dichiarazione dello stato di emergenza,
– l'organizzazione e le procedure da seguire in situazione di crisi,
– l'iter per la ripresa della normale operatività
• tempo massimo accettabile di ripartenza di sistemi e processi critici
• individuazione dei siti alternativi
• indicazione di spazi e infrastrutture logistiche e di comunicazione adeguate
per il personale coinvolto nell'emergenza
• regole di conservazione delle copie dei documenti importanti (ad es.
contratti) in luoghi remoti rispetto ai documenti originali.

12 marzo 2014
pag. 31
siti di recovery
• I siti di recovery dei processi a rilevanza sistemica sono situati a congrua distanza dai siti
primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti.
• In generale, i siti di recovery sono ubicati all’esterno dell’area metropolitana nella quale
sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua,
ecc.) distinti da quelli impiegati in produzione.
• Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di
parti terze qualificate (ad es. Protezione Civile, accademici, professionisti) e compiutamente
documentata, che il rischio di indisponibilità contemporanea dei siti primari e
secondari è trascurabile.

12 marzo 2014
pag. 32
la normativa sui requisiti sistemici
Provvedimento del 20 marzo 2007
Aggiornamento n. 15 luglio 2013 circolare BdI n.236/2006
1. Definizione dei criteri per la individuazione dei soggetti coinvolti
– Banche/gruppi con quote di mercato (FINT) > 5%
– Rilevanza nei servizi di pagamento/regolamento
2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate
– Sistemi di pagamento
– Accesso ai mercati rilevanti per la liquidità
– Servizi di compensazione e regolamento
3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari
– Il tempo di ripartenza per i processi a rilevanza sistemica < 2ore
– Il tempo di ripristino (comprende tempi di analisi e decisione) per i processi a rilevanza sistemica < 4 ore
– sono considerate adeguate le soluzioni basate su architetture tecnologiche che effettuino la duplicazione in linea dei dati
operativi in modo da eliminare o ridurre al minimo la perdita di informazioni.
– l’intervallo di tempo che intercorre fra il punto di ripristino e il momento dell’incidente (RPO) è pari o prossimo a zero.

12 marzo 2014
4- La normativa per la pubblica
amministrazione
pag. 33

12 marzo 2014
pag. 34
prima dell’obbligo introdotto dall’art.50 bis del nuovo CAD (2010)
•Iniziative prevalentemente limitate alle organizzazioni più critiche e
complesse quali ad es. Ministero Finanze, Istituti previdenziali e assicurativi
•attenzione soprattutto alle soluzioni tecniche
•2005 – istituzione del Centro di competenza sulla continuità operativa
presso CNIPA
•2006 Linee guida alla continuità operativa nella PA – Quaderno CNIPA n.28
•2008 La Continuità operativa nella PA: Casi di studio – Quaderno n. 35
(MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI
Piemonte)

12 marzo 2014
pag. 35
continuità Operativa
Nuovo Codice dell’Amministrazione Digitale (CAD)
l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235
1. In relazione ai nuovi scenari di rischio, alla crescente complessità
dell’attività istituzionale caratterizzata da un intenso utilizzo della
tecnologia dell’informazione, le pubbliche amministrazioni
predispongono i piani di emergenza in grado di assicurare la continuità
delle operazioni indispensabili per il servizio e il ritorno alla normale
operatività.
2. Il Ministro per la pubblica amministrazione e l’innovazione assicura
l’omogeneità delle soluzioni di continuità operativa definite dalle
diverse Amministrazioni e ne informa con cadenza almeno annuale il
Parlamento.

12 marzo 2014
pag. 36
continuità Operativa
Nuovo Codice dell’Amministrazione Digitale (CAD) (segue)
3.A tali fini, le pubbliche amministrazioni definiscono :
a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire,
descrive le procedure per la gestione della continuità operativa, anche affidate a
soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse
umane, strutturali, tecnologiche e contiene idonee misure preventive. Le
amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa
con cadenza biennale;
b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per
garantire il funzionamento dei centri di elaborazione dati e delle procedure
informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il
Garante per la protezione dei dati personali, definisce le linee guida per le
soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni
informatiche, verifica annualmente il costante aggiornamento dei piani di disaster
recovery delle amministrazioni interessate e ne informa annualmente il Ministro per
la pubblica amministrazione e l’innovazione.
4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base
di appositi e dettagliati studi di fattibilità tecnica; su tali studi è
obbligatoriamente acquisito il parere di DigitPA.

12 marzo 2014
pag. 37
Ruoli e funzioni per attuazione art. 50-bis del CAD
AGID : Emette le Linee Guida (LG)
prima versione novembre 2011
seconda versione settembre 2013
AGID: emette pareri su SFT
(ad oggi oltre 900)
PP.AA*. : Predispongono e
sottopongono al parere di AID
studi di fattibilità tecnica (SFT),
(ad oggi oltre 1050)
AGID:
verifica annualmente
i’aggiornamento dei piani di DR
PP.AA.:
Implementano le soluzioni e predi-spongono i piani di
CO e di DR sulla base dello SFT e del parere di
AGID;
Verificano con cadenza biennale la funzionalità del
Piano di CO ;
Garantiscono la manutenzione della soluzione e
informando AGID
Inviano a AGID annualmente l’aggiornamento del
piano di DR
Il Ministro assicura l’omogeneità
delle soluzioni informando con
cadenza annuale il Parlamento* PAC e PAL (Regioni, Province, Comuni, ASL e AO, Università,
Istituti scolastici, Camere Commercio, Società controllate

TierTier 11
MediaMediaBassaBassa AltaAlta CriticaCritica
Network
CRITICITÀ
TierTier 22
TierTier 33
TierTier 44
TierTier 66
TierTier 55
TierTier 11
MediaMediaBassaBassa AltaAlta CriticaCritica
NetworkNetwork
CRITICITÀ
TierTier 22
TierTier 33
TierTier 44
TierTier 66
TierTier 55Tier 3: soluzione simile a quella di Tier
2 ma il trasferimento dei dati tra il sito
primario e quello di DR avviene
attraverso un collegamento di rete tra i
due siti.
: la soluzione prevede che le risorse
elaborative, garantite coerenti con quelle
del centro primario, siano sempre
disponibili, permettendo la ripartenza
delle funzionalità in tempi rapidi
: la soluzione è analoga a
quella del Tier4, con la differenza
che l’aggiornamento finale dei
dati avviene solo quando
entrambi i siti hanno eseguito e
completato i rispettivi
aggiornamenti.
: la soluzione prevede che nel sito di
DR le risorse elaborative, oltre ad essere
sempre attive, siano funzionalmente
speculari a quelle del sito primario,
rendendo così possibile ripristinare
l’operatività dell’IT in tempi molto rapidi
Le soluzioni di DR nelle linee guida
: backup dati e conservazione
presso un altro sito con spazi attrezzati
per accogliere risorse elaborative in
caso di disastro, con garanzia della
disponibilità di risorsa di elaborazione
in emergenza
soluzione simile a quella di
Tier 1 ma le risorse elaborative, già
presenti, possono essere disponibili in
tempi più brevi

12 marzo 2014
pag. 39
normativa in materia di razionalizzazione dei CED della PA
▪ D.L. 18 Ottobre 2012 n.179 convertito nella legge 221/12 , Art. 33 septies: “Consolidamento dei
siti e delle infrastrutture digitali del paese”
▪ L’Agenzia per l’Italia Digitale elabora le linee guida, basate sulle principali metriche di efficienza
internazionalmente riconosciute, finalizzate alla definizione di un piano triennale di
razionalizzazione dei CED delle PP.AA.
▪ Il Piano di razionalizzazione dovrà:
– portare alla diffusione di standard comuni di interoperabilità
– a crescenti livelli di efficienza e di sicurezza
– a una più rapida erogazione dei servizi ai cittadini e alle imprese
▪ Entro il 30 Settembre 2013, AGID trasmette al Presidente del Consiglio dei Ministri dopo una
consultazione pubblica :
– I risultati del censimento effettuato
– Le linee guida per la razionalizzazione dell’infrastruttura digitale della PA
▪ Entro i successivi novanta giorni, il Governo, adotta il piano triennale di razionalizzazione dei
CED delle pubbliche amministrazioni di cui al comma 1, aggiornato annualmente
Ricognizione dei
CED della PP.AA
Elaborazione e
trasmissione alla
PCM delle linee
guida
Decreto di
Adozione del
Piano triennale

12 marzo 2014
pag. 40
risultati del censimento
In assenza di interventi di
razionalizzazione, i CED delle
Regioni non sono in grado di
ospitare tutto il fabbisogno
pubblico dei propri territori
La distribuzione
geografica CED
evidenzia una
eccessiva
frammentazione
986 CED Censiti

12 marzo 2014
pag. 41
l’infrastruttura nei CED delle PA
L’adeguamento puntuale
di tutti i CED censiti è
ovviamente
diseconomico, è urgente
procedere al piano di
razionalizzazione per la
conservazione efficiente
e sicura dei dati pubblici.
L’adeguamento puntuale
di tutti i CED censiti è
ovviamente
diseconomico, è urgente
procedere al piano di
razionalizzazione per la
conservazione efficiente
e sicura dei dati pubblici.

12 marzo 2014
pag. 42
le Linee Guida: direttrici di intervento
Il processo di razionalizzazione richiede che i CED della PA rispondano a
requisiti:
1) Infrastrutturali: caratteristiche minime Data Center TIER III secondo lo
standard TIA-942
2) Relativi all’ICT, Hardware e Software (% virtualizzazione, aggiornamento
tecnologico HW e SW, NAS e SAN, connessioni FO)
3) miglioramento delle caratteristiche infrastrutturali IT e di tipo energetico
da raggiungere nel corso dei tre anni del piano (PUE < 1,6)

12 marzo 2014
pag. 43
il Piano Triennale di Razionalizzazione: obiettivi
finalizzato a razionalizzazione e consolidamento dei CED della PA verso i
nuovi Data Center conformi almeno al TIER III secondo lo standard TIA-942
La razionalizzazione, il consolidamento, il risparmio energetico e la scalabilità
delle infrastrutture informatiche prevedono 3 step fondamentali:
1) Razionalizzazione degli spazi
2) Razionalizzazione degli apparati
3) Razionalizzazione degli applicativi
Il Piano Triennale si pone l’obiettivo di completare i primi due punti e verifica la
conformità degli applicativi in uso, rispetto al Cloud
PAC: Individuazione di alcuni poli nazionali per il consolidamento di CED,
razionalizzazione e migrazione
PAL: in ogni regione consolidamento e migrazione in uno o più siti
dell’infrastruttura IT di tutto il relativo territorio

�ݺ�ߣ

seminario DR 12 marzo 2014 versione finale

More Related Content

seminario DR 12 marzo 2014 versione finale