Computer Emergency Response Team
CERT del Ministero dell’Economia e delle Finanze – (CERT-MEF), versione 1.1 del 22 gennaio 2018
PROFILO RFC 2350

1 Informazioni sul Documento
Il presente documento contiene una descrizione del CERT del Ministero dell’Economia e delle Finanze (di seguito CERT-MEF) secondo quanto previsto dalla RFC 2350 (http://www.rfc-base.org/txt/rfc-2350.txt).
Fornisce le informazioni di base relative al CERT-MEF, le modalità con cui può essere contattato e ne descrive sommariamente i compiti e i servizi offerti alla comunità di riferimento (Constituency).

1.1 Versione
Versione 1.1 del 22 gennaio 2018.

1.2 Liste di Distribuzione
Non sono previste liste di distribuzione per l’aggiornamento del presente documento.

1.3 Disponibilità
La versione corrente del presente documento è disponibile sullo “Share Inter-Istituzionale” (ad uso interno) del CERT-MEF. Una copia ad uso sia pubblico che interno è altresì disponibile sul sito web del CERT-MEF di cui al successivo capitolo 2.10. Assicurarsi di usare sempre la versione corrente.

2 Contatti
2.1 Nome
Nome completo: CERT del Ministero dell’Economia e delle Finanze
Nome abbreviato: CERT-MEF

2.2 Indirizzo
CERT del Ministero dell’Economia e delle Finanze c/o Uffici di Diretta Collaborazione con il Ministro (Gabinetto del Ministro)
Ministero del Ministero dell'Economia e delle Finanze
Via XX Settembre, 97
00187 - Roma
Italia

2.3 Fuso Orario
Europa Centrale (GMT+0100 e GMT+0200 - Ora legale in Italia: dall'ultima domenica di marzo alle 2:00 all'ultima domenica di ottobre alle 3:00).

2.4 Telefono
Un numero di telefono diretto viene fornito ad un gruppo selezionato di soggetti, tra cui quelli appartenenti al gruppo chiuso definito nel capitolo 5.

2.5 Fax
Un numero di fax diretto viene fornito ad un gruppo selezionato di soggetti, tra cui quelli appartenenti al gruppo chiuso definito nel successivo capitolo 5.

2.6 Email
Email: cert.mef@mef.gov.it
PEC: cert.mef@pec.mef.gov.it  
I messaggi inviati al presente indirizzo sono ricevuti e possono essere letti da tutti i membri del CERT-MEF.

2.7 Altri Tipi di Comunicazione
Non previsti.

2.8 Chiavi Pubbliche e Meccanismi di Crittografia
Per la sicurezza delle comunicazioni è adottata la tecnologia PGP.
La chiave pubblica PGP, valida per l’indirizzo cert.mef@tesoro.it (alias cert.mef@mef.gov.it), è disponibile nello “Share Inter-Istituzionale” e sul sito web del CERT-MEF: https://cert.mef.gov.it prelevando il seguente Fingerprint: 9B306FED1F5D5D267F594F973C8384BDAE7E0F0C

2.9 Membri del Team
A capo del CERT-MEF è nominato, con decreto del Ministro, su proposta del Capo di Gabinetto, un responsabile scelto tra le figure apicali preposte agli uffici di diretta collaborazione del Ministro, presso il quale il CERT-MEF è istituito.
Il Team si articola in:
• una struttura di governo, che svolge compiti di indirizzo strategico, direzione, coordinamento della comunità di riferimento e controllo in materia di protezione cibernetica e riesame dei servizi resi dal CERT-MEF.
	- La struttura di governo è composta dal responsabile del CERT-MEF, che la presiede, e dai designati delle entità costituenti nominati dal responsabile del CERT-MEF su proposta delle predette entità.
• un Nucleo Tattico Operativo, composto da personale in servizio delle entità costituenti, di cui la struttura di governo si avvale per l'esercizio delle funzioni tecniche ed organizzative.
	- Il responsabile del Nucleo Tattico Operativo è nominato, su proposta della struttura di governo ed assegnato agli uffici di diretta collaborazione del Ministro, tra i Funzionari/Ufficiali, con provvedimento del responsabile del CERT-MEF, al quale direttamente e funzionalmente risponde.

2.10 Altre Informazioni
Informazioni generali sul CERT-MEF possono essere recuperate sul sito web del CERT-MEF: https://cert.mef.gov.it

2.11 Punti di Contatto
Il metodo principale per contattare il CERT-MEF è via Email: cert.mef@mef.gov.it.  
È richiesto l’utilizzo di PGP per l’invio di informazioni confidenziali o sensibili.
Ad un ristretto gruppo di utenti (Cfr. 5) viene fornito anche un numero di telefono diretto. 

3 Costituzione
3.1 Obiettivi
Il CERT-MEF, sulla base di un modello cooperativo interno alle PP.AA., supporta le entità costituenti attraverso azioni di sensibilizzazione, di prevenzione e di coordinamento della risposta ad eventi cibernetici specifici, ad alto impatto e su vasta scala.
I principali obiettivi del CERT-MEF sono:
• fornire informazioni tempestive su potenziali minacce informatiche che possano recare danno al Sistema Informativo delle entità costituenti;
• incrementare la consapevolezza e la cultura della sicurezza;
• cooperare con istituzioni analoghe, nazionali ed internazionali, e con altri attori pubblici e privati coinvolti nella sicurezza informatica promuovendo l’interazione con gli stessi;
• facilitare la risposta ad incidenti informatici su larga scala;
• fornire supporto nel processo di soluzione di crisi cibernetica ai sensi del DPCM 24 gennaio 2013 e del successivo DPCM del 17 febbraio 2017.

3.2 Constituency
Il CERT-MEF si rivolge ai seguenti "utenti di riferimento" (entità costituenti) dell'Amministrazione finanziaria:
• Uffici di Diretta Collaborazione del Ministro;
• Dipartimento del Tesoro, Dipartimento della Ragioneria Generale dello Stato, Dipartimento delle Finanze e Dipartimento dell'Amministrazione Generale del Personale e dei Servizi;
• Agenzia delle Entrate, Agenzia delle Dogane e dei Monopoli e Agenzia del Demanio;
• Agenzia delle Entrate-Riscossione (ex. Equitalia S.p.A.);
• Guardia di Finanza.
La struttura referente di ogni entità costituente verso il CERT-MEF è il “Nucleo Accreditato IT”, che rappresenta l’interfaccia verso le strutture organizzative interne che compongono la costituency. Ciascuno dei predetti nuclei è operativo presso la relativa struttura organizzativa di appartenenza e si interfaccia in relazione continuativa con il Nucleo Tattico Operativo del CERT-MEF, al quale risponde funzionalmente in caso gestione di incidente ad alto impatto qualora la responsabilità dell’intervento sia assunta dal NTO, nel rispetto delle modalità definite dai processi di IR-MEF e di gestione “Crisi”.
I NaIT devono accreditarsi presso il CERT-MEF nel rispetto delle procedure all’uopo delineate. 

3.3 Atti Normativi
I riferimenti normativi sono individuati nel:
• Decreto del Ministro dell'Economia e delle Finanze del 6 agosto 2015 istitutivo del CERT (Computer Emergency Response Team- Gruppo di gestione degli incidenti di sicurezza informatica) in intestazione;
• DPCM 24 gennaio 2013, successivamente recepito nel DPCM 17 febbraio 2017, concernente l’architettura istituzionale per la protezione cibernetica e la sicurezza informatica nazionale. 

3.4 Accreditamenti
Il CERT-MEF è accreditato presso il Computer Emergency Response Team della Pubblica Amministrazione (CERT-PA).
Il CERT-MEF interagisce con:
• la Polizia Postale e delle Telecomunicazioni;
• il Centro Nazionale Anticrimine Informatico a Protezione delle Infrastrutture Critiche (CNAIPIC);
• il CERT Difesa dello Stato Maggiore della Difesa;
• l’Agenzia Europea per la Sicurezza Informatica (ENISA).

3.5 Autorità
Il CERT-MEF esplica le proprie funzioni sulla base di accordi di collaborazione e protocolli di intesa con la propria Constituency rapportandosi, in maniera paritetica e collaborativa, con i referenti dei Nuclei Accreditati IT. 

4 Policy
4.1 Tipi di Incidente e Livello di Supporto
Il CERT-MEF agisce come coordinatore e facilitatore nella risposta agli incidenti di sicurezza o a minacce che, in funzione di un'apposita "Matrice di misurazione” per determinarne priorità e gravità, potrebbero determinare un impatto critico su singole entità o sull'intera Constituency.
Negli incidenti su larga scala, il CERT-MEF agisce come “Punto di Contatto” con il CERT-PA, NSC, CNAIPIC e con le altre istituzioni nazionali di settore e, attraverso di esse, con altri enti, al fine di ricevere e trasmettere informazioni, utili alla mitigazione/soluzione dell’incidente e/o di eventuali azioni coordinate tra gli attori nazionali.
Il CERT-MEF si impegna a mantenere la propria Constituency informata sulle vulnerabilità potenziali, anche prima che queste possano essere sfruttate.

4.2 Cooperazione, Interazione e Divulgazione delle Informazioni
Il CERT-MEF riceve dalla propria Constituency segnalazioni relative ad incidenti o minacce, ne valuta il possibile impatto sul Ministero nel suo complesso e provvede ad informare i soggetti interessati nonché al loro coordinamento, per mettere in campo le soluzioni più appropriate.
Il CERT-MEF assicura il trattamento dei dati secondo la normativa vigente e le regole interne di qualificazione e circolazione dei documenti e delle informazioni. 
Per assicurare la riservatezza e l’autenticità delle comunicazioni, deve essere utilizzata la chiave PGP per la cifratura dei messaggi.
Per il ristretto gruppo chiuso di utenti descritti al capitolo 5, è inoltre a disposizione una piattaforma dedicata di “infosharing”, per aumentare la velocità di interazione e consentire a ciascun utente di condividere – in tutto o in parte – le informazioni relative a minacce o incidenti. 
Il livello di confidenzialità delle informazioni condivise è indicato dal detentore originario dell’informazione stessa. Solo le informazioni dichiarate di dominio pubblico potranno essere  interamente divulgate.
L’accesso alla piattaforma è disciplinato nel rispetto di opportune misure di sicurezza. La piattaforma consente lo scambio di informazioni utili, relative a minacce o incidenti, al fine di ampliare la “knowledge base” del gruppo, mettendo a fattor comune dati, notizie ed esperienze, per incrementare la capacità di reazione a fronte di eventuali incidenti su larga scala.
La riservatezza è assicurata da opportune modalità di gestione delle informazioni stesse, accessibili – in tutto o in parte – agli utenti del gruppo, secondo le indicazioni rese dal detentore originario dell’informazione.
Il CERT-MEF potrà rendere di dominio pubblico, verso le istituzioni nazionali di settore, eventuali statistiche relative a segnalazioni di minacce o incidenti, rispettando in ogni caso la riservatezza delle fonti e fornendo esclusivamente informazioni aggregate ed in forma anonima.
Il CERT-MEF garantisce la confidenzialità delle fonti informative. Le informazioni ricevute, ancorché rese in forma anonima, potranno essere inoltrate alle parti interessate per risolvere o prevenire specifiche problematiche.

5 Servizi 
Il CERT-MEF offre i suoi servizi a due gruppi di utenti:
• un gruppo aperto che comprende utenti interni, del quale fanno parte i referenti dei Nuclei Accreditati IT, destinatari di informazioni utili per la prevenzione e la soluzione di incidenti informatici nonché di ulteriori indicazioni tese ad innalzare i livelli di sicurezza informatica;
• un gruppo chiuso e ristretto, in conformità con la “Strategia nazionale per la sicurezza cibernetica”, che comprende le principali strutture organizzative pubbliche e gli altri gestori di infrastrutture critiche pubbliche informatizzate. 
Gli obiettivi del CERT-MEF vengono perseguiti con l’uso della posta elettronica istituzionale (ordinaria e certificata) e di una piattaforma di “infosharing” attraverso la quale le informazioni relative a minacce e/o incidenti possano essere condivise ed affrontate in modo comune.
Il supporto diretto per la risoluzione dei problemi informatici, a beneficio degli utenti finali della Constituency, resta a carico delle rispettive strutture organizzative di ICT Security, amministratori di sistema, amministratori di rete o assistenza informatica.
I servizi del CERT-MEF sono legati alla prevenzione e gestione degli incidenti informatici e sono erogati anche per il tramite di una suite di strumenti Open Source, nuovi e/o ereditati dalle preesistenti Unità Locali di Sicurezza, reingegnerizzati, personalizzati ed adattati alle specifiche esigenze del team.

5.1 Prevenzione degli Incidenti
Il CERT-MEF, nel rispetto delle modalità esplicitate in sede di elaborazione del processo di IR-MEF, provvede a fornire alle strutture organizzative della Constituency un servizio di segnalazione delle vulnerabilità relative alle tecnologie dichiarate di interesse. 
La dichiarazione di interesse si esplicita nell’indicazione delle tecnologie inserite nella “Technology List” ufficiale del CERT-MEF per ogni entità della propria Constituency, riguardo alle quali si desidera ricevere le notifiche relative ad eventuali vulnerabilità rese pubbliche. Possono essere altresì valutati eventuali inserimenti di nuove tecnologie di interesse non presenti nella lista ufficiale, che viene validata con cadenza semestrale.
Il servizio di prevenzione degli incidenti viene reso in rapporto alle fasi di monitoraggio, triage, notifica e governo.
Il risultato di ciascuna fase può attivare la fase successiva, secondo le procedure e le politiche interne definite dal CERT-MEF.

5.2 Risposta agli Incidenti
Il CERT-MEF coordina la risposta agli incidenti di sicurezza a livello ministeriale, a favore di tutte le entità costituenti, fino alla risoluzione.
Negli incidenti ad impatto esterno il CERT-MEF interagisce con gli altri CERT e Istituzioni nazionali, in particolare con il CERT-PA, al fine di ricevere e trasmettere informazioni utili alla loro mitigazione e risoluzione. Lo stesso coopera con i medesimi attori istituzionali, in conformità con il modello organizzativo previsto dal DPCM 24 gennaio 2013 e dal successivo DPCM del 17 febbraio 2017.

5.3 Caratterizzazione
Il CERT-MEF gestisce la caratterizzazione degli incidenti segnalati. Gli eventi sono analizzati verificando l’affidabilità della fonte e raccogliendo ogni informazione disponibile. Gli stessi sono inoltre classificati secondo la loro gravità, priorità ed impatto.
In caso di evento malevolo, ad alto impatto e che coinvolga una o più entità costituenti, il CERT-MEF attiva la procedura di coordinamento per la “Gestione della Crisi” e la soluzione dell’incidente. In tale evenienza, il Responsabile del CERT-MEF istituisce l’Unità di Crisi e ne assume la direzione.

5.4 Coordinamento
La gestione dell’incidente viene coordinata dal CERT-MEF attraverso le seguenti azioni:
1) individuazione delle strutture della Constituency coinvolte;
2) attivazione dei contatti con i diretti interessati per analizzare l’incidente e individuare le azioni da intraprendere;
3) facilitazione dei contatti con altre organizzazioni che possano fornire supporto nella risoluzione dell’incidente;
4) informazione tempestiva di tutti i soggetti potenzialmente coinvolti all’interno della propria Constituency;
5) predisposizione dei report da sottoporre alla struttura di governo per le azioni correttive; 
6) predisposizione dei report da inviare agli altri CERT o organizzazioni interessate.
Il CERT-MEF agisce anche come centro di raccolta informazioni, che vengono prontamente smistate all’interno della propria Constituency per facilitare la risoluzione di incidenti di sicurezza informatica.

5.5 Soluzione
Il CERT-MEF diffonde le informazioni necessarie a contrastare l’incidente e a ripristinare lo stato di normalità il più velocemente possibile in cooperazione con la propria Constituency.

5.6 Servizi Proattivi
Il CERT-MEF fornisce alla propria Constituency i seguenti servizi proattivi:
• annunci (news e rassegna stampa sotto forma di bollettini informativi);
• disseminazione di informazioni utili, finalizzate all’accrescimento della sicurezza;
• definizione e diramazione di linee guida e standard per una corretta gestione e prevenzione degli incidenti informatici;
• campagne di sensibilizzazione e formazione, al fine di accrescere la consapevolezza sui temi della sicurezza informatica;
• elaborazione di proposte di formazione specialistica in materia di sicurezza informatica;
• scambio di informazioni.

5.7 Servizi Reattivi
Il CERT-MEF fornisce i seguenti servizi reattivi per la propria Constituency:
• allarmi (servizi preventivi sotto forma di bollettini informativi sulla sicurezza);
• avvisi (segnalazioni sotto forma di bollettini sulla sicurezza);
• coordinamento e scambio di informazioni per la soluzione di incidenti;
• coordinamento della risposta agli incidenti;
• gestione degli incidenti;
• analisi degli incidenti;
• sostegno della risposta agli incidenti.

6 Forme di Comunicazione degli Incidenti
Il CERT-MEF fornisce, sul proprio sito web https://cert.mef.gov.it o su canali assimilabili (quali posta elettronica ordinaria o certificata), bollettini ed informative di possibile interesse per le articolazioni ministeriali.
Le informazioni gestite attraverso il sistema di “infosharing” vengono condivise nell’ambito del gruppo ristretto di utenti descritto nel capitolo 5 e vengono usate con lo scopo di ampliare le conoscenze comuni del gruppo e migliorare le attività di coordinamento nel caso di incidente su larga scala.
Tutti i NaIT possono inviare informazioni relative ad incidenti di sicurezza o minacce di sicurezza o informazioni correlate al CERT-MEF attraverso una Email, eventualmente crittografata, a cert.mef@tesoro.it alias cert.mef@mef.gov.it (PEO) ovvero cert.mef@pec.mef.gov.it (PEC).
Nell’invio è necessario fornire il maggior numero di informazioni possibili, come:
• tipo di incidente (o di minaccia);
• sistemi coinvolti (anche solo potenzialmente);
• livello di criticità, priorità ed impatto (calcolato secondo la “Matrice di misurazione”);
• data/ora ed eventualmente luogo dell’evento riportato;
• fonti dell’informazione;
• possibili impatti su larga scala;
• livello di riservatezza dell’informazione (principalmente se si tratta di informazione di dominio pubblico o no – classificata secondo la modalità interna di “Qualificazione dei documenti e delle informazioni”).
Il codice maligno o altri allegati non dovranno essere inviati via email senza averne precedentemente concordato le modalità di trasmissione con il CERT-MEF.
Nella circostanza, dovrà essere comunque specificato il livello di riservatezza dell’informazione (pubblico dominio o meno). In assenza di tale qualificazione, il CERT-MEF assumerà che l’informazione sia di livello “pubblico”.

7 Disclaimer
Per quanto sarà presa ogni precauzione nella preparazione delle segnalazioni, notifiche e bollettini informativi (Allarmi, Avvisi e Annunci), il CERT-MEF non si assume alcuna responsabilità per errori od omissioni, o per danni derivanti dall'utilizzo delle informazioni contenute al loro interno.
La presenza di rinvii operati mediante tecniche di ipertesto (link), inseriti all’interno delle informazioni comunicate per facilitare eventuali approfondimenti, non esime il ricevente dall’onere di intraprendere ogni altra eventuale cautela aggiuntiva.



-------------------------------------------------------------------------------------------------------------
| This is the management-approved RFC 2350 for the CERT-MEF (English translation). The official document    |
| that designates the responsibility of our team, signed by an authorized government official (the Minister |
| of Economy and Finance), is the MEF Decree of August 6th, 2015 which is confidential and cannot be shared.|
-------------------------------------------------------------------------------------------------------------

Computer Emergency Response Team
CERT of the Ministry of Economy and Finance - (CERT-MEF), version 1.1 of January 22nd, 2018
RFC 2350 PROFILE

1. About this document
This document contains a description of the CERT of the Ministry of Economy and Finance (CERT-MEF in the 
remaining part of this document) as stated in RFC 2350 (http://www.rfc-base.org/txt/rfc-2350.txt).
This gives basic information related to the CERT, the contact channels and describes the main responsibility 
and services provided to the Constituency.

1.1 Version
Version 1.1 of January 22nd, 2018.

1.2
Distribution List
There are no distribution lists for the update of the present document.

1.3
Locations where this document may be found
The updated version of the current document is available on the "Inter-Institutional Share" (only for 
internal use) of CERT-MEF. A public-use copy is also available on CERT-MEF web site described in 2.10. 
Please make sure to always use the last available version.

2 Contacts
2.1 Name
Full name: CERT of the Ministry of Economy and Finance
Short name: CERT-MEF

2.2 Address
CERT of the Ministry of Economy and Finance c/o Prime Minister's office
Ministry of Economy and Finance
Via XX Settembre, 97
00187 - Rome
Italy

2.3 Time Zone
Central European Time (CET - GMT+0100) is used as standard time, while Central European Summer Time 
(CEST - GMT+0200) is observed when Daylight Saving Time (DST) is in force. DST is in force from the last 
Sunday of March until the last Sunday of October.

2.4 Telephone
A direct phone number is provided to a closed group, including those belonging to the closed group 
described in chapter 5.

2.5 Fax
A fax number is provided to a closed group, including those belonging to the closed group described in 
chapter 5.

2.6 Email
Email: cert.mef@mef.gov.it
Certified email: cert.mef@pec.mef.gov.it  
All the messages sent to these addresses can be read by all members of CERT-MEF.

2.7 Other communication types
Not provided.

2.8 Public Keys and Cryptography
In order to provide secure communications, PGP technology is used.
The CERT-MEF public key, valid for cert.mef@tesoro.it (alias cert.mef@mef.gov.it), is available on the 
"Inter-Institutional Share" of CERT-MEF and on the CERT-MEF web site: https://cert.mef.gov.it. The 
Fingerprint is: 9B306FED1F5D5D267F594F973C8384BDAE7E0F0C.

2.9 Team members
After the proposal of the Chief of the Private Office of the Minister, by decree of the Minister, a responsible 
manager is chosen between the key people of the offices of direct collaboration of the Minister.
The Team is composed of:
• a management structure, with duties of strategic direction, coordination of the community and control in 
cybersecurity. Another task of this structure is the re-examination of the CERT-MEF services.
	- The management structure is composed by the responsible manager of the CERT-MEF, who leads 
it, and by the people proposed and designated by the constituent entities and nominated by the 
responsible manager of CERT-MEF.
• a Tactical-Operational Team, composed of people of the constituent entities. The management structure 
takes advantage of this team for the technical and organizational functions.
	- The Tactical-Operational Team manager is nominated on a management structure proposal and is 
assigned to the offices of direct collaboration of the Minister, among the Officials, with an act of the 
responsible manager of CERT-MEF, to whom he/she directly and functionally responds.

2.10 Other information
General information about CERT-MEF can be found at:	https://cert.mef.gov.it

2.11 Contact points
The main contact method is via email: cert.mef@mef.gov.it.
PGP is required for confidential information.
A restricted number of users (chapter 5) have access to a direct phone number.

3 Foundation
3.1 Objectives
The CERT-MEF, using a Public Administration cooperation model, supports its constituents through 
awareness, prevention, specific cybersecurity events response coordination actions (high impact and wide 
scope).
The main objectives are:
• to provide timely information about potential cyber threats, which could harm the informative systems of 
the Constituency;
• to improve the awareness and security culture;
• to cooperate with other similar institutions (both national and international) and with other private and 
public actors involved in information security, promoting interaction with them;
• to ease the response to large-scale security accidents;
• to support the solution to the cyber crisis, pursuant to DPCM of January 24th, 2013 and to DPCM of 
February 17th, 2017.

3.2 Constituency
The CERT-MEF addresses the following users (constituents) of the financial administration:
• Advisory Council of the Minister (Uffici di Diretta Collaborazione del Ministro);
• Department of the Treasury (Dipartimento del Tesoro); 
• State General Accounting Department (Dipartimento della Ragioneria Generale dello Stato);
• Department of Finance (Dipartimento delle Finanze);
• Department of General Administration, Personnel and Services (Dipartimento dell'Amministrazione 
Generale del Personale e dei Servizi);
• Revenue Agency (Agenzia delle Entrate);
• Customs Agency and the State Monopoly (Agenzia delle Dogane e dei Monopoli);
• State Property Agency (Agenzia del Demanio);
• Revenue Agency - Collection (Agenzia delle Entrate-Riscossione);
• Financial Police (Guardia di Finanza).
The contact point from the CERT-MEF to each constituent entity is the Accredited Team, which represents 
the interface towards the internal organizational structures of the Constituency.
Each of the Accredited Teams is operational in the related constituent structure and maintains continuous 
connections with the Tactical-Operational Team, to which it functionally responds. This is true in case of a 
high impact accident and if the responsibility is given to the Tactical-Operational Team, according to what 
defined in the Incident Response and crisis management processes.
The Accredited Teams must validate to the CERT-MEF according to the predefined procedures.

3.3 Regulatory Acts
The legal references are:
• Decree of the Minister of Economy and Finance of August 6th, 2015, which established the CERT-MEF;
• DPCM of January 24th, 2013 and DPCM of February 17th, 2017.

3.4 Accreditation
The CERT-MEF is accredited by the Computer Emergency Response Team of the Public 
Administration (CERT-PA).
The CERT-MEF interacts with:
• Postal and Telecommunications Police (Polizia Postale e delle Telecomunicazioni);
• National Information Anti-Crime Center for Protection of Critical Infrastructures (CNAIPIC);
• CERT of Defense Staff (CIOC);
• European Union Agency for Network and Information Security (ENISA).

3.5 Authority
The CERT-MEF cooperates with its Constituency interacting, in a balanced way, with the representatives of 
the Accredited Teams.

4 Policy
4.1 Incident Types and Support Level
According to a dedicated "Measurement Matrix" used to state priority and severity of security incidents 
and threats, the CERT-MEF coordinates and facilitates response actions to them.  These could have a critical 
impact on a single entity or on all the Constituency.
The CERT-MEF is the point-of-contact with CERT-PA, NSC, CNAIPIC and the other sector-related national 
Institutions and, through them, with other Entities, to manage common incidents, in order to receive and 
send information useful for incident solution/mitigation and/or any coordinated actions between national 
actors.
The CERT-MEF keeps its Constituency informed about potential vulnerabilities, even before their potential 
exploit.

4.2 Cooperation, Interaction and Information Sharing
The CERT-MEF receives incident or threat-related warnings from its Constituency, evaluates potential 
impact on the Ministry as a whole, informs stakeholders and coordinates the most appropriate solutions.
The CERT-MEF ensures data processing according to current laws and the internal rules for the qualification 
and sharing of information and documents.
In order to guarantee confidential and authentic communications, PGP cryptography has to be used to 
encrypt messages.
A dedicated "Info sharing" platform is available for the restricted and closed group of users described in 
Chapter 5, in order to increase interaction speed and to allow user sharing of threat or incident information 
- in whole or in part.
The confidentiality level of shared information has to be indicated by the owner. Only public domain 
information can be completely published.
The access to the "Info Sharing" platform follows security measures and rules. The platform allows the 
sharing of useful information about threats or incidents, in order to extend the knowledge base of the 
group, sharing data, news and experiences, used to increase the reacting capacity to manage common 
incidents.
Confidentiality is guaranteed by appropriate information management policies, available - in whole or in 
part - to all the CERT-MEF team, according to the indications provided by the information owner.
The CERT-MEF will go public with any anonymous statistics about threats or incidents warnings, to national 
Institutions, protecting the source's privacy. 
The CERT-MEF guarantees information source's confidentiality. The received information, even if in 
anonymous form, can be forwarded to stakeholders to solve or prevent specific issues.

5 Services
The CERT-MEF serves two groups of users:
• an open group of internal users, including the representatives of the IT Accredited Teams, subjects of 
useful information for the prevention and the solution of IT incidents and of other recommendations to 
increase IT security level;
• a closed and restricted group, according to the "National strategy for Cybersecurity", which includes all 
the main public organizations and others who manage critical public IT infrastructures.
The CERT-MEF objectives are obtained through the use of the institutional electronic mail (standard and 
certified) and an "infosharing" platform for sharing and managing, in a standard way, the information about 
threats and/or incidents.
Direct support for the resolution of IT problems for the final users of the Constituency remains in charge of 
each ICT Security organizational area, system administrators, network managers and IT helpdesk.
CERT-MEF services are related to the prevention and managing of IT security incidents and are provided 
even through Open Source tools, new and/or existing (already used by Local Security Units), re-engineered, 
personalized and adapted to the specific team needs.

5.1 Incidents' Prevention
The CERT-MEF, according to the rules and procedures defined in the IR-MEF process, provides a reporting 
service to the organizational structures of the Constituency, about the vulnerability warning on critical 
technologies.
The declaration of interest is made clear in the official CERT-MEF "Technology List" for each entity of the 
Constituency who wants to receive the notifications of potential vulnerabilities on a specific technology. 
The integration of new critical technologies is evaluated ad hoc and validated every six months during the 
update of the List.
The incident prevention service is provided for the phases of monitoring, triage, notification and 
management.
The result of each phase can trigger the next one, according to the internal procedures and policies defined 
by CERT-MEF.

5.2 Incidents' Response
The CERT-MEF coordinates the Ministry response to the security incidents, in support of all the 
Constituency, until the resolution.
In case of incidents with external impacts, the CERT-MEF interacts with other CERTs and national 
Institutions, especially with CERT-PA, in order to receive and provide useful information for mitigation and 
resolution. The CERT-MEF cooperates with Institutional stakeholders in line with the organizational model 
defined by DPCM of January 24th, 2013 and by DPCM of February 17th, 2017.

5.3 Categorization
The CERT-MEF manages the categorization of reported incidents. The events are analysed verifying the 
reliability of the source and collecting all the available information. Each event is classified according to its 
severity, priority and impact.
In case of adverse event with a high impact for more than one entity of the Constituency, the CERT-MEF 
activates the coordination procedure for "Crisis Management" and the resolution of the incident. In this 
case, the CERT-MEF Manager establishes the Crisis Unit and assumes its direction.

5.4 Coordination
The CERT-MEF coordinates incident management through the following actions:
1) Identification of interested entities of the Constituency;
2) Activation of the contacts with the stakeholders to analyse the incident and select required actions;
3) Expedition of the contacts with other organizations which could support incident resolution;
4) Timely information to all potential stakeholders within the Constituency;
5) Preparation of reports for the management board to help the definition of corrective actions;
6) Preparation of reports for other CERTs and interested organizations.
The CERT-MEF even acts as an information gathering centre. The information is timely dispatched within 
the Constituency to facilitate the resolution of security incidents.

5.5 Resolution
The CERT-MEF provides all the information needed to quickly response to the incident and to restore the 
normal operativity as soon as possible, in cooperation with its Constituency.

5.6 Proactive Services
The CERT-MEF provides to the Constituency the following proactive services:
• Notices (news and press review as informative bulletins);
• Dispatching of useful information for security increase;
• Definition and sharing of guidelines and standards for a correct prevention and management of security 
incidents;
• Security awareness and education campaigns, in order to increase IT security awareness;
• High-level education proposals about IT security topics;
• Information sharing.

5.7 Reactive Services
The CERT-MEF provides to the Constituency the following reactive services:
• Alarms (prevention services as informative security bulletins);
• Warnings (important security notices);
• Coordination and information exchange for incident resolution;
• Coordination of incident response;
• Incident management
• Incident analysis;
• Incident response support.

6 Incident Communication Methods
The CERT-MEF provides, on its website https://cert.mef.gov.it or on similar channels (such as electronic 
mail or certified email), bulletins and notices of potential interest for the Ministry and its related structures.
The information managed through the "Info sharing" system is shared within the restricted group of users 
described in paragraph 5 and is used in order to widen the common knowledge of the group and to 
improve the coordination activities in case of large-scale incident.
All Accredited IT Teams can send information to the CERT-MEF through email, possibly encrypting it, to 
cert.mef@tesoro.it alias cert.mef@mef.gov.it, or cert.mef@pec.mef.gov.it (PEC).
It's important to provide as much information as possible, such as:
• Incident (or threat) type;
• Involved systems (even only as a potential);
• Level of criticality, priority and impact (calculated according to the "Measurement Matrix");
• Date, time and possibly place of the reported event;
• Information source;
• Potential large-scale impacts;
• Confidentiality level of the information (public domain or reserved/classified information according to 
"Qualification of documents and information").
The malignant code or other attachments have not to be sent by email without previous agreement with 
CERT-MEF about the way of transmission. The confidentiality level of the information must be specified 
(public domain or not). Without this qualification, the CERT-MEF will assume the information as "public".

7 Disclaimer
The CERT-MEF will take all possible precautions in the preparation of the notices, news and all types of 
informative bulletins. However, the CERT-MEF does not assume any responsibility for errors or omissions or 
damages which should occur from the use of the information contained in such documents.
The presence of hypertext links, included in the text to facilitate potentially in-depth analysis, does not 
allow the receiver to take other possible and added precautions.