Art 50-bis Disaster Recovery e Continuità Operativa

Art 50-bis Disaster Recovery e Continuità Operativa

L’introduzione dei processi innovativi e delle tecnologie digitali nella Pubblica Amministrazione ha cambiato notevolmente il modo di gestire i dati. La continua crescita dei dati e l’aumento delle attività collegate ad essi richiede maggiore sicurezza e performance in termini di continuità operativa e disaster recovery. Per venire incontro alla Pubblica Amministrazione Centrale e Locale, l’Agenzia per l’Italia Digitale ha deciso di normare i servizi e prodotti in cloud computing ed agevolarne l’adozione.

Il cloud interessa non solo per il risparmio e la razionalizzazione che può portare nei data center ma per la prospettiva di realizzare infrastrutture condivise che facilitino drasticamente la progettazione, la realizzazione e la gestione dei sistemi informativi e, in definitiva, migliorino il rapporto tra Stato e cittadini. I servizi cloud si presentano come uno dei mezzi più economici per assicurare ad una gran parte dei servizi di e-Government quelle caratteristiche di efficacia, efficienza, trasparenza, partecipazione, condivisione, cooperazione, interoperabilità e sicurezza.

La normativa sulla continuità operativa

Il nuovo Codice dell’Amministrazione Digitale con il Decreto Legislativo 7 marzo 2005, n. 82 e s.m.i. e le modifiche apportate con il Dlgs 30 dicembre 2010, n 235 ha introdotto nel CAD l’Articolo 50-bis (continuità operativa).

L’art 50-bis in materia di sicurezza dei dati e disaster recovery nella Pubblica Amministrazione obbliga gli enti governativi ad adottare dei piani di intervento tecnologico per garantire la continuità operativa dei sistemi e dei servizi al cittadino.

L’Ente governativo centrale o locale (comune) deve preparare una relazione/studio di fattibilità tecnica da proporre in esame all’AGID per il miglioramento dei livelli di sicurezza in base a determinate aree/servizi come per esempio:

  • Gestione atti amministrativi (determine, delibere)
  • Gestione Bilancio
  • Gestione Economato (inventario, buoni economali)
  • Gestione Edilizia
  • Gestione Patrimonio
  • Gestione Sanzioni, Incidenti, Turni di servizio
  • Gestione Protocollo
  • Gestione Servizi Sociali
  • Gestione SIT (cartografia, civici e toponomastica)
  • Gestione sito web
  • Gestione Stipendi
  • Gestione SUAP
  • Gestione Personale (giuridico, presenze)
  • Servizi Demografici (anagrafe, CIE, stato civile, elettorale)

Lo studio deve rispettare alcuni indici di criticità sui Servizi, Organizzazione, Tecnologia, classe di criticità (bassa, media, alta, critica) risultante e soluzione tecnologica minima.

La soluzione tecnologica minima viene identifica con livelli di sicurezza classificati in TIER.  Il termine tier viene utilizzato nell’accezione dello standard TIA-942 che classifica i Data Center in 4 livelli (passati a 6) caratterizzati da caratteristiche progressivamente migliorative, ai fini della affidabilità e disponibilità del Data Center.

Definizione dei livelli di TIER

  • Tier 1: backup dati e conservazione presso un altro sito (anche detto “alternativo”o “secondario”o “ di DR”)  tramite  trasporto  di  supporto  (nastro  o  altro  dispositivo).  Il  sito  secondario  dovrà  disporre  di spazi  attrezzati  per  accogliere  risorse  elaborative in  caso  di  disastro,  con  garanzia  della  disponibilità di risorsa di elaborazione in grado di permettere il ripristino delle funzionalità IT in caso di emergenza.
  • Tier  2: soluzione  simile  a  quella  di  Tier  1,  con  la  differenza  che  le  risorse  elaborative,  già  presenti, possono  essere  disponibili  in  tempi  sensibilmente  più  brevi,  garantendo  anche  l’allineamento  delle performance rispetto al sistema primario.
  • Tier  3: soluzione  simile  a  quella  di  Tier  2,  con  la  differenza  che  il  trasferimento  dei  dati  tra  il  sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti. Questa soluzione può prevedere  tempi  di  ripristino  più  veloci  rispetto  ai Tier  precedenti,  ma  rende  necessario dotarsi  di collegamenti di rete con adeguati parametri di disponibilità, velocità di trasferimento e sicurezza.
  • Tier  4: questa  soluzione  prevede  che  le  risorse  elaborative,  garantite  coerenti  con  quelle  del  centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi.
  • Tier 5: la soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi   aggiornamenti (sincronizzazione).
  • Tier  6: la  soluzione  prevede  che  nel  sito  di  DR  le  risorse elaborative,  oltre  ad  essere  sempre attive, siano  funzionalmente  speculari  a  quelle  del  sito  primario,  rendendo  così  possibile  ripristinare l’operatività dell’IT in tempi molto rapidi.

Segue una chiara e sintetica rappresentazione grafica estrapolata dalle Linee Guida di DIGIT PA.

Normativa Continuità Operativa art 50-bis

E’ proprio in questa fase che il Comune deve rendere possibile la sinergia tra le aree IT interne e i fornitori terzi di servizi in cloud che possono garantire una valutazione ottimale del servizio di backup e restore per essere conformi con i requisiti richiesti dall’AGID.

Link utili sull’adozione di tecnologie in cloud per aumentare i livelli di sicurezza dei dati e dei sistemi nella Pa Centrale e Comuni:

Summary
Article Name
Continuità Operativa nei comuni art 50-bis
Description
Art 50-bis: Continuità Operativa nei comuni. Adottare soluzioni in cloud per rispettare le nuove norme in tema di Backup e Restore e disaster recovery.
Publisher Name
Elio Lacavalla

Comments are closed.