Il Sistema di Gestione della Sicurezza delle Informazioni (SiGSI)




icona evocativa Con l’obiettivo di assicurare trasparenza e obiettività a tutte le strutture di RFI, alle Imprese Ferroviarie e, più in generale, agli stakeholders, RFI, in qualità di Gestore dell’Infrastruttura nazionale ferroviaria, si è dotata di un proprio Sistema di Gestione della Sicurezza delle Informazioni (SiGSI) che consente di garantire) la continuità gestionale e la sicurezza dei “dati di circolazione dei treni” alla base della determinazione del pedaggio per l’utilizzo dell’infrastruttura dovuto dalle Imprese Ferroviarie per la rendicontazione economica delle tracce orario assegnate.

grafico

Avviato fin dal 2002 ai sensi dello standard BS 7799, aggiornato nel 2007 ai sensi dello standard internazionale ISO 27001:2005, il SiGSI di RFI è attualmente certificato ai sensi dell' ISO 27001:2014 “Tecniche per la Sicurezza-Sistemi di Gestione della Sicurezza delle Informazioni”. L’iter certificativo di rinnovo e mantenimento del SiGSI, precedentemente seguito dagli enti di certificazione TÜV Italia e DNV, nel triennio 2013–2015 è stato curato dall’ente accreditato “DASA Rägister” S.p.A., selezionato con gara europea. RFI ha di recente rinnovato con la medesima Società la Convenzione per il servizio di certificazione del SiGSI anche per il triennio 2016-2018


In linea con le Direttive Europee in materia di  ripartizione della capacità di infrastruttura ferroviaria,   riscossione dei diritti dovuti per l’utilizzo dell’infrastruttura,  regime di accesso alle Reti nazionali dei vari Paesi membri - recepite in Italia dal D.Lgs. 188/2003, dal DM n. 28/T del 05 agosto 2005 e, recentemente, dal D.Lgs. 112/2015 -  RFI, in forza dell’Atto di Concessione rilasciato dal MIT con DM n. 138T/2000, applica il DM n. 43T/2000 per la determinazione dei criteri del canone di utilizzo dell’infrastruttura ferroviaria. Il processo della “Rendicontazione” avviene “per treno” applicando l’algoritmo del succitato DM ai treni circolati e consiste nell’acquisizione delle Informazioni Certificate che successivamente sono rese disponibili alle IF.

I requisiti di riservatezza, integrità e disponibilità delle informazioni previsti dallo standard internazionale sono assicurati dalla funzionalità del sistema informatico “Piattaforma Integrata della Circolazione” (PIC), utilizzato da RFI per l’elaborazione dei dati.

I Dati Fondamentali per una corretta rendicontazione dei livelli di produzione dell’Azienda sono le informazioni che, in qualsiasi condizione, garantiscono sul sistema PIC una corretta fatturazione alle Imprese Ferroviarie, clienti di RFI.

RFI garantisce la protezione dalla divulgazione indiscriminata dei dati e/o destinata alle Imprese Ferroviarie concorrenti.

In tale missione RFI, avvalendosi del contributo della Direzione Information & Communication Technology, che presidia la sicurezza logica dei dati, della Direzione Protezione Aziendale, che presidia la sicurezza fisica degli asset e della Direzione Commerciale ed Esercizio Rete, che garantisce il processo qualitativo e di rendicontazione del servizio, ha assegnato la responsabilità dell’intero processo – ivi compreso il presidio normativo - alla Direzione Produzione.


grafico

emessa il 10 aprile 2015 dall'Amministratore Delegato di RFI, Maurizio Gentile

Lo sviluppo e il miglioramento continuo della Sicurezza delle Informazioni rappresenta uno degli obiettivi primari di RFI.

A tal fine, nella consapevolezza che tale obiettivo è conseguibile solo con l’adozione di concrete misure di prevenzione, è stato realizzato, presso la Direzione Produzione, un Sistema di Gestione per la Sicurezza delle Informazioni (SiGSI), che consente di garantire la continuità gestionale e la sicurezza delle informazioni inerenti l’elaborazione dei dati di Produzione e di Rendicontazione, attraverso il sistema informatico PIC, minimizzando i danni gestionali a fronte del manifestarsi di eventuali minacce.

La sicurezza delle informazioni del sistema PIC è intesa come mantenimento dei requisiti di riservatezza, integrità e disponibilità dei dati del sistema PIC, in quanto da RFI ritenuti obiettivi fondamentali per assicurare trasparenza e obiettività all’Organizzazione, alle Imprese Ferroviarie e, più in generale, agli Stakeholders, oltre che per salvaguardare la conformità legale e il mantenimento di una affidabile immagine di impresa.

Costituiscono caratteristiche qualificate di tale sistema:

  • il coinvolgimento attivo di tutto il personale;
  • il miglioramento continuo del sistema di individuazione e valutazione dei rischi;
  • l’incidenza dei controlli sull’efficacia gestionale e la sistematica e periodica valutazione dei rischi come attività proattiva;
  • la riduzione dei rischi alla fonte; il coinvolgimento attivo dei fornitori nel sistema di miglioramento;
  • la eliminazione dei rischi in relazione alle conoscenze acquisite ed in base al progresso tecnico e alla revisione organizzativa o, comunque, la loro minimizzazione.

Il SiGSI, è realizzato in conformità agli standard internazionali UNI ISO 27001:2014.

La gestione del SiGSI è assicurata dalla Direzione Produzione di RFI, che, in particolare, cura e promuove tutte le misure necessarie per il suo completo recepimento all’interno del sistema ferroviario, unitamente alle esigenze di sviluppo.