Post on 05-Dec-2014
description
transcript
PROVINCIA DI BERGAMO4 giugno 2013
workshop formativo
Continuità operativa e disaster recovery
“L’art. 50-bis del CAD - Codice dell'Amministrazione
Digitale”Giovanni Rellini Lerz
Responsabile Continuità Operativarellini@agid.gov.it
Contesto
crescente digitalizzazione della PA anche per processi/servizi critici
esigenza di infrastrutture ICT affidabili e disponibili
esigenza di siti alternativi nel caso di eventi disastrosi (CO e DR)
esigenza di aumentare l’efficienza energetica dei DC
esigenza di ridurre la spesa della PA
2
Digitalizzazione: esempi
Albo pretorio: a gennaio 2011 per disposizione di legge la pubblicazione degli atti nell'Albo Pretorio on-line sostituisce ad ogni effetto giuridico la tradizionale pubblicazione "cartacea" che perde di valore legale.
Prescrizione medica digitale - graduale sostituzione delle prescrizioni in formato cartaceo con le equivalenti in formato elettronico.
Cartella clinica digitale: a decorrere dal 1° gennaio 2013, la conservazione delle cartelle cliniche può essere effettuata, senza nuovi o maggiori oneri a carico della finanza pubblica, anche solo in forma digitale.
Referti on line: è il servizio che permette di vedere e stampare i risultati dei propri esami di laboratorio via internet. Il referto online sostituisce a tutti gli effetti quello cartaceo
3
Disaster Recovery:art. 50 bis del CAD
4
il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione
In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività
Prima dell’art.50 bis
Iniziative prevalentemente limitate alle organizzazioni più critiche e complesse
In molti casi attenzione soprattutto alle soluzioni tecniche
2005 – istituzione del Centro di competenza sulla continuità operativa presso CNIPA
2006 Linee guida alla continuità operativa nella PA – Quaderno CNIPA n.28
2008 La Continuità operativa nella PA: Casi di studio – Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte)
5
l’articolo 50-bis (Continuità operativa) - Dlgs 30.12.2010, n.235 :
1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.
2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
L’articolo 50-bis del CAD in dettagliocompiti delle PA e di AGID
6
3. A tali fini, le pubbliche amministrazioni definiscono :
a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
L’articolo 50-bis del CAD in dettagliocompiti delle PA e di AGID
7
L’articolo 50-bis del CAD in dettagliocompiti delle PA e di AGID
8
4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.
AGID : Emette le Linee Guida (LG) AGID : Emette le Linee Guida (LG)
AGID: emette pareri su SFT AGID: emette pareri su SFT
PP.AA. : Predispongono e sottopongono al parere di AID studi di fattibilità tecnica (SFT),
PP.AA. : Predispongono e sottopongono al parere di AID studi di fattibilità tecnica (SFT), AGID:
verifica annualmente i’aggiornamento dei piani di DR
AGID:
verifica annualmente i’aggiornamento dei piani di DR
PP.AA.: Implementano le soluzioni e predi-spongono
i piani di CO e di DR sulla base dello SFT e del parere di AGID;
Verificano con cadenza biennale la funzionalità del Piano di CO ;
Garantiscono la manutenzione della soluzione e informando AGID
Inviano a AGID annualmente l’aggiornamento del piano di DR
PP.AA.: Implementano le soluzioni e predi-spongono
i piani di CO e di DR sulla base dello SFT e del parere di AGID;
Verificano con cadenza biennale la funzionalità del Piano di CO ;
Garantiscono la manutenzione della soluzione e informando AGID
Inviano a AGID annualmente l’aggiornamento del piano di DR
Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento
Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento
Ruoli e funzioni per attuazione art. 50-bis del CAD
9
le linee guida sono state emanate il 28 nov 2011 e sono disponibili nel sito di AGID
ancorché l’art. 50-bis preveda la produzione, a cura dell’Agenzia per l’Italia Digitale (AGID), delle “linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni”, di cui questo documento è l’attuazione, i contenuti del documento sono stati estesi anche a: indicazioni nel merito dei contenuti e della produzione del piano di continuità
operativa aspetti organizzativi indicazioni e schemi di massima dello studio di fattibilità tecnica
per fornire alle Amministrazioni gli elementi necessari al completo adempimento dei dispositivi dell’articolo.
un gruppo di lavoro costituito da AGID con rappresentanze di Amministrazioni, aziende pubbliche e di settore ha definito a fine gennaio 2013 una prima revisione delle LG
Le Linee Guida (1)
10
la revisione delle linee guida è attualmente in attesa del parere del Garante per la protezione dei dati, come richiesto dalla legge
la revisione ha prodotto queste principali modifiche: revisione del glossario con varie aggiunte indicazioni in base all’esperienza dell’emissione dei pareri precisazioni su ruoli e funzioni (resp. CO, comitato di crisi, ecc.) introduzione agli aspetti cloud relativi al DR breve introduzione alle caratteristiche dei datacenter revisione del modello di studio di fattibilità definizione di un modello di PCO contestualizzato alla realtà del 50-bis riorganizzazione di alcuni capitoli e appendici
Le Linee Guida (2)
11
Il perimetro di applicazione della continuità operativa ICT deve comprendere almeno:
1. le applicazioni informatiche e i dati del sistema informativo indispensabili all’erogazione dei servizi e allo svolgimento delle attività (informatiche e non);
2. le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione;
3. i dispositivi di elaborazione hw e sw che permettono la funzionalità delle applicazioni realizzanti i servizi dell’amministrazione;
4. le componenti di connettività locale e/o remota/geografica;
5. ciò che serve per consentire lo svolgimento delle attività del personale informatico, sia interno all’amministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso;
6. le modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all’interno dell’amministrazione e ai fruitori esterni dei servizi del sistema informativo dell’amministrazione, siano essi cittadini, imprese, altre amministrazioni;
7. le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema informativo;
8. la gestione dei posti di lavoro informatizzati dell’amministrazione;
9. i servizi previsti per l’attuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale,ecc.)
Il perimetro di applicazione della CO delle pubbliche amministrazioni
12
TierTier 1 1
MediaMediaBassaBassa AltaAlta CriticaCritica
Network
CRITICITÀ
TierTier 2 2
TierTier 3 3
TierTier 44
TierTier 66
TierTier 55
TierTier 1 1
MediaMediaBassaBassa AltaAlta CriticaCritica
NetworkNetwork
CRITICITÀ
TierTier 2 2
TierTier 3 3
TierTier 44
TierTier 66
TierTier 55Tier 3: soluzione simile a quella di Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti.
Tier 4: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi
Tier 5: la soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.
Tier 6: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente speculari a quelle del sito primario, rendendo così possibile ripristinare l’operatività dell’IT in tempi molto rapidi
La realizzazione della CO e delle soluzioni di DR nelle linee guida
Tier 1: backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza
Tier 2: soluzione simile a quella di Tier 1 ma le risorse elaborative, già presenti, possono essere disponibili in tempi più brevi
13
SFT: tipologie di richieste
14
Amministrazioni PAC (Ministeri, Enti, ecc.)ComuniAziende sanitarie e ospedaliereUniversitàIstituti ScolasticiProvinceRegioniCamere di CommercioSocietà partecipate (controllate) da PA
alla data, sono stati emessi circa 650 pareri e sono state fatte circa 850 richieste
nelle richieste sono rappresentate tutte le varie tipologie di Amministrazioni :
Gestione atti amministrativi (determine, delibere) Gestione Bilancio Gestione Economato (inventario, buoni
economali) Gestione Edilizia Gestione Patrimonio Gestione Sanzioni, Incidenti, Turni di servizio Gestione Protocollo Gestione Servizi Sociali Gestione SIT (cartografia, civici e
toponomastica) Gestione sito web Gestione Stipendi Gestione SUAP Gestione Personale (giuridico, presenze) Servizi Demografici (anagrafe, CIE, stato civile,
elettorale) Albo pretorio
Esempi di servizi per un Comune
Esempi di servizi per una Universita’
Consultazione online presenze personale tecnico-amministrativo di Ateneo
Controllo di gestione Customer satisfaction Digital signage Gestione statistiche Portale assistenza rete e servizi di rete Portale di cambio password Portale Spin-Off Produzione Badge Affidamenti incarichi attività didattiche Albo online Consultazione OPAC SBN Contabilità integrata di Ateneo Dematerializzazione procedimenti amministrativi Firma digitale remota docenti Gestione giuridico-economica del personale Gestione prove di selezione accesso
programmato Gestione studenti
15
Esempi di servizi per una ASL
Esenzione Continuità Assistenziale (ex. guardia medica) Vaccinazioni Scelta e revoca Servizio di Prevenzione e Protezione Laboratorio di analisi Impiantistica e sicurezza sul lavoro Patologie cronico degenerative e tumorali Medicina legale Protesica Consultori
16
SERT Strutture sanitarie accreditate Sanità animale Servizio igiene degli allevamenti e
delle produzioni zootecniche Gestione amministrativo-contabile Logistica e Supply Chain Gestione asset aziendali Gestione delle risorse umane Servizi direzionali CUP diretto e/o centralizzato Esposizione referti su FSE
Esempi di servizi per una AO
servizio di DEAservizio di Accettazione/Dismissione e
Trasferimento ricoveri (ADT)servizio di gestione della Cartella
Clinica di ricoveroservizio di gestione sale operatorieservizio di gestione delle terapie
intensiveservizio di gestione ambulatori e casseservizio di gestione dei Laboratori
Analisiservizio di gestione della
Radiodiagnostica (Radiologia e Medicina Nucleare)
servizio di gestione di Anatomia Patologica
17
servizio Centro Trasfusionale (SIMT)
servizio di gestione delle Prenotazioni ambulatoriali (CUP provinciale)
servizio di gestione del Protocollo e Delibere
portale Internetportale Intranetposta Elettronicaservizio amministrativo contabile e
controllo di gestioneservizio gestione Risorse Umaneservizio di gestione di Prevenzione e
Sicurezza sul Lavoro
Affari Generali – Protocollo Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/Società Partecipate Personale - Gestione Economica del Personale Personale - Rilevazione presenze Gestione Economica dell'Ente - Programmazione Finanziaria Gestione Economica dell'Ente - Gestione ordinativi e pagamenti Gestione Economica dell'Ente - Controllo di Gestione Gestione Economale - Gestione Economato, Ordini e Magazzino Sistema bibliotecario della Provincia Settore Lavoro - Portale Sintesi Gestione Sanzioni Polizia Provinciale Rilascio licenze di Pesca Gestione venatoria Servizio zootecnia, agricolo e dell'alimentazione Albo Pretorio Siti Istituzionali Anagrafe Estesa Sovracomunale Sistema Informativo Territoriale Servizi provinciali e-gov
Esempi di servizi per una Provincia (classi di servizio)
18
Nella predisposizione della richiesta di parere Individuazione del responsabile della CO Relazione sul CAD
Nel processo della CO delle PA Rischio di moltiplicazione dei data center in assenza di soluzioni
condivise In molti casi, necessità di interventi di razionalizzazione sui siti primari
(consolidamento, virtualizzazione,…) prima di adottare soluzioni di DR Vincoli di budget per la realizzazione della soluzione Difficoltà di inserire la valutazione e le soluzioni per servizi
esternalizzati, soprattutto se svolti da società inhouse Armonizzazione delle liste dei servizi e delle valutazioni di criticità per
stessa tipologia di amministrazione
Criticità
19
Supporto AGID (linee guida, tool autovalutazione, schema SFT, seminari e workshop)
Supporto organismi di settore ANCI/Ancitel, UPI, CISIS, IT4U, per armonizzare valutazioni servizi critici
Ricerca soluzioni DR condivise tra più amministrazioni tramite: Centri Servizi Territoriali, Unioni Comuni società in house regionali, consorzi interuniversitari .......................................
Sussidiarietà da parte di Amministrazioni territorialmente più grandi: Province che supportano i Comuni del territorio
Ricorso al mercato per consulenza e servizi di DR
Supporti
20
Definizione dei profili di servizio essenziali e dei loro livelli minimi per le soluzioni di disaster recovery :
http://www.digitpa.gov.it/sites/default/files/Raccomandazioni_PROFILI%20MINIMI%20SERVIZI%20DI%20DR_v_2_4_0.pdf
Attuazione dell’articolo 33-septies del DL 179 (“Consolidamento e razionalizzazione dei siti e delle
infrastrutture digitali del Paese”)
AGID: ulteriori iniziative per la CO concluse o in corso
21
Definizione dei profili di servizio essenziali DR
22
D1: Supporto alla predisposizione della documentazione per l’acquisizione del parere ai sensi del comma 4, dell’art. 50‐bis del CAD.
D2 ‐Servizio di Predisposizione dei piani di CO/DR e di progettazione organizzativa/procedurale e tecnologica della soluzione di DR
D3: Il sito di DR: aree CED e aree attrezzate per posti di lavoroD4: Componenti hw e sw della soluzione di DRD5 Servizi di replica dati per il DRD6 Servizi di rete per il DRD7 Servizi di gestione della soluzione di Dr sia in condizioni di
normalità che in condizioni di emergenzaD8 Servizi di verifica per le soluzioni di DR
“Le scrivo di nuovo in tema di disaster recovery visto che in questi ultimi 20 giorni qui a Ferrare abbiamo sperimentato il terremoto.
In particolare io abito a Sant'Agostino, e per il momento vivo in un camper perché sono fortunata.
Il comune interno non è più agibile e la Provincia di Ferrara mi ha dislocato a lavorare per il periodo dell'emergenza immediata nel Centro Operativo Comunale di Sant'Agostino.
Alla luce di questo ho capito molto bene l'importanza del disaster recovery.
Nel nostro caso tutti gli archivi cartacei, tutti i dati, tutta la struttura è rimasta dentro al comune che questa settimana dovrà implodere portandosi dietro tutta la conoscenza dell'ufficio tecnico e degli altri suoi servizi.
I cittadini chiedono la documentazione per sapere come sono fatte le loro case per cercare di non perderle alla prossima scossa ma noi non possiamo rispondere, abbiamo tutto in comune.
Siamo (credo dignitosamente) ripartiti individuando la scuola elementare come sede, ci manca tutto dalle graffette ai pc e dopo aver recuperato un back up le funzioni anagrafe, contabilità, sito e posta sono ripartite.
...abbiamo toccato con mano che la domanda del cittadino, in caso di disastro, cambia molto.
...”
L’importanza del 50-bis (e non solo): una testimonianza
23