Politica Generale per la Sicurezza Informatica
Transcript
Politica Generale per la Sicurezza Informatica
TECHNICAL STANDARDS POLITICA GENERALE PER LA SICUREZZA INFORMATICA VERSIONE: 2.0 DATA: EMISSIONE: Direzione Produzione, Sistemi informativi e Servizi generali (DPSS) Febbraio 2016 TABELLA DELLE REVISIONI N° Rev. 1.0 2.0 Data Causale Revisione Aprile 2013 Prima emissione Febbraio 2016 Seconda emissione GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Note Gruppo Editoriale l’Espresso S.p.A. Pagina 1 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 INDICE 1. Scopo del documento ................................................................................................................................... 3 2. Ambito di applicazione, ruoli e compiti ....................................................................................................... 3 3. Acronimi e definizioni ................................................................................................................................... 4 4. Documenti applicabili e Riferimenti ............................................................................................................. 5 5. Politica Generale............................................................................................................................................ 5 5.1. Identificazione, classificazione e gestione delle informazioni e degli asset ............................................ 6 5.2. Gestione della Sicurezza Informatica nell’Ambito dei Rapporti con le Terze Parti .................................. 7 5.3. Gestione della Sicurezza Informatica nei Rapporti con il Personale ........................................................ 7 5.4. Sicurezza fisica, degli ambienti e delle apparecchiature ........................................................................... 8 5.5. Gestione sicura degli accessi logici ............................................................................................................ 9 5.6. Sicurezza Informatica nell’Ambito del Ciclo di vita dei sistemi e dei servizi............................................ 9 5.6.1. Gestione sicura della rete aziendale ......................................................................................................10 5.6.2. Back-up e Restore ...................................................................................................................................11 5.7. Gestione degli eventi anomali e degli incidenti rilevanti ai fini della sicurezza ......................................11 5.8. Monitoraggio, tracciamento e verifiche tecniche .......................................................................................12 5.8.1. Monitoraggio ............................................................................................................................................12 5.8.2. Tracciamento............................................................................................................................................12 5.8.3. Verifiche Tecniche ...................................................................................................................................13 5.9. Gestione della Compliance ..........................................................................................................................13 GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 2 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 1. Scopo del documento Lo scopo della Politica Generale per la Sicurezza Informatica (di seguito “Politica di Sicurezza”) è quello di descrivere i principi generali che il Gruppo ha fatto propri al fine di realizzare e mantenere un efficiente e sicuro Sistema di Gestione della Sicurezza delle Informazioni ispirato allo Standard ISO/IEC 27001. Tale Sistema ha come obiettivo primario la protezione delle informazioni e degli elementi del sistema informativo che si occupano della loro gestione. In particolare, perseguire la sicurezza informatica significa definire, conseguire e mantenere le seguenti proprietà delle informazioni (dette anche parametri di sicurezza): Riservatezza: assicura che l’informazione sia accessibile solamente a coloro che hanno le dovute autorizzazioni; Integrità: salvaguarda la completezza dell’informazione dal rischio di cancellazioni o modifiche di informazioni a seguito sia di fatti accidentali e/o naturali, sia di atti dolosi di soggetti non autorizzati; Disponibilità: assicura che gli utenti autorizzati possano fruire del sistema informativo e accedere ed utilizzare le informazioni; Autenticità: garantisce la provenienza dell’informazione; Non ripudio: assicura che l’informazione sia protetta da falsa negazione di ricezione, trasmissione, creazione, trasporto, consegna e ricevuta. La mancanza di adeguati livelli di sicurezza, in termini di Riservatezza, Disponibilità, Integrità, Autenticità e Non Ripudio può comportare, nell’ambito di una qualsiasi attività aziendale, il peggioramento dell’immagine dell’azienda, la mancata soddisfazione da parte del cliente nonché danni di natura economica e finanziaria. A tutto ciò bisogna aggiungere il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti. 2. Ambito di applicazione, ruoli e compiti La Politica per la Sicurezza informatica è rivolta e si applica a tutti coloro che sono impegnati nell’espletamento delle proprie funzioni e nella fornitura di servizi per far si che conoscano tutte le azioni messe in campo dal Gruppo Editoriale l’Espresso volte a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa, colposa, incidentale che possono danneggiare le risorse materiali, immateriali, organizzative, informative di cui il Gruppo dispone o di cui necessita per garantirsi un’adeguata capacità produttiva nel breve, medio e lungo periodo. Il modello organizzativo di riferimento per l’attuazione della Politica di Sicurezza dell’ICT del Gruppo è il modello già in essere per gli obblighi di legge in materia di Sicurezza sul Lavoro e Tutela Ambientale e di sicurezza Informatica come da Dlg. 231/2001 e D.Lgs 196/2003 e successive modifiche. (Datore di Lavoro a livello di Società / Divisione Operativa, Dirigenti Delegati, Responsabili Tecnici Preposti, ecc ecc) . I Technical Standards, nei capitoli specifici della politica generale della sicurezza informatica e delle norme comportamentali per la gestione sicura delle risorse aziendali, emessi dalla Direzione Produzione, Sistemi Informativi e Servizi Generali, hanno lo scopo di introdurre i riferimenti uniformi per la protezione delle Infrastrutture centrali e comuni di Gruppo, il coordinamento dei progetti di evoluzione in modo conforme alle garanzie generali GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 3 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 sulla gestione sicura delle risorse di Gruppo e come indirizzo e controllo della sicurezza generale dei sistemi produttivi e di Business Continuity Il modello organizzativo potrà essere integrato e formalizzato come allegato alla politica al termine del periodo di verifica e completamento su progetti pilota, con l’eventuale estrapolazione di un parte più propriamente destinata a procedure e vincoli ed una parte necessariamente di indirizzo tecnico come riferimenti standard e metodi di lavoro uniformi per tutto il Gruppo. 3. Acronimi e definizioni Accesso logico - Uso delle risorse da parte dei processi e degli utenti che si esplica attraverso la verifica e la gestione dei diritti d'accesso. Autenticità – Parametro di sicurezza che garantisce la provenienza dell’informazione. Autorità Competenti - A titolo esemplificativo ma non esaustivo: Polizia Giudiziaria (Carabinieri, Polizia di Stato, Guardia di Finanza), ANSF, RFI, uffici tecnici ministeriali, antitrust, ecc. Back-up - Salvataggio/copia di sicurezza, raccolta di dati ed informazioni su un supporto diverso da quello usato normalmente; il fine di tale attività è garantire il recupero delle informazioni in caso di danneggiamento del supporto primario. Disponibilità – Parametro di sicurezza che assicura l’accesso alle informazioni e agli elementi architetturali associati agli utenti nel momento in cui ne fanno richiesta. Dati giudiziari - Ai sensi del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) con tale termine si intendono “i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Dati personali - Ai sensi del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) con tale termine si intende “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Dati sensibili - Ai sensi del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) con tale termine si intendono “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Evento - Qualsiasi cambio di stato che ha rilevanza ai fini della gestione di un qualsiasi elemento infrastrutturale o di servizio. Evento Anomalo - Qualsiasi evento che non fa parte dell’operatività standard di un’infrastruttura o di un servizio. Gruppo - Tale termine si riferisce al Gruppo Editoriale L’Espresso (GELE) e alle società da essa controllate. Hardening - Insieme di azioni atte ad analizzare le funzionalità di un sistema operativo/applicazione al fine di individuare la configurazione ottima che permetta di innalzare il livello di sicurezza e ridurre il rischio residuo connesso alle debolezze dei sistemi. HW – Hardware. Incidente - Qualsiasi evento in grado di interferire sulla normale operatività, alterando le performance o provocando delle conseguenze in termini di riservatezza, integrità o disponibilità delle singole attività e servizi. Integrità – Parametro di sicurezza che garantisce la salvaguardia della completezza dell’informazione e delle sue modalità di trasferimento. Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate. Solo il personale autorizzato può modificare la configurazione di un sistema o l’informazione trasmessa su una rete. Need to know - È un principio generale sviluppato nella gestione dei sistemi di sicurezza secondo il quale i soggetti che devono compiere attività di trattamento di informazioni sono autorizzati a trattare i soli dati essenziali allo svolgimento del mansionario loro attribuito. Non ripudio – Parametro di sicurezza che assicura la protezione dell’informazione da falsa negazione di ricezione, trasmissione, creazione, trasporto, consegna e ricevuta. GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 4 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 Riservatezza – Parametro di sicurezza che assicura l’accessibilità dell’informazione solamente a coloro che detengono le dovute autorizzazioni. L’informazione deve essere accessibile solo a chi è autorizzato a conoscerla, le informazioni devono essere protette sia durante la trasmissione che durante la memorizzazione. Supporti di memorizzazione - Si considerano, con questo termine, tutte le tipologie di supporti che possono contenere informazioni, ad es. chiavi USB, CD, DVD, hard disk portatili. SW – Software. Technical Standards – insieme di indirizzi, metodologie e norme di carattere tecnico, gestionale, logistico per utilizzo uniforme di Best Practices nell’ambito del Gruppo e con lo scopo di sincronizzare e proteggere l’uso ordinario e straordinario delle risorse comuni e in particolare delle infrastrutture dei processi produttivi comuni e/o integrati. Virus - Programma in grado di danneggiare, anche irreversibilmente, i dati e le applicazioni di un computer. Sovente può essere introdotto da un messaggio di posta elettronica o scaricando dei file non sicuri da Internet. 4. Documenti applicabili e Riferimenti Norme di legge D.Lgs 196/2003 D.Lgs 231/2001 ISO\IEC 27001:2005 – “Information technology – Security techniques – Information Security Management Systems - Requirements” ISO/IEC 27002:2005 - “Information technology – Security techniques – Code of practice for information security management” Documenti emessi dal Gruppo Codice Etico Modello Organizzativo ex D.Lgs 231/01 Struttura Organizzativa Documenti emessi Norme Comportamentali per la Gestione Sicura delle Risorse Aziendali Standard di Riferimento 5. Politica Generale Il Gruppo intende formalizzare il proprio impegno nell’implementazione della Politica di Sicurezza tenendo conto dell’attività svolta, della dimensione, della natura e del livello dei rischi. A tale fine il Gruppo si impegna a: rispettare la normativa vigente, gli accordi e i regolamenti, inclusi quelli volontari nonché gli standard individuati, in materia di sicurezza; considerare la attività di sicurezza ed i risultati raggiunti come parte integrante della gestione aziendale al pari di tutte le altre attività; coinvolgere e consultare tutti i soggetti a qualunque titolo interessati; riesaminare periodicamente la presente Politica; diffondere all’interno dell’azienda gli obiettivi di sicurezza e i relativi programmi di attuazione; Tali principi verranno perseguiti attraverso: i requisiti di sicurezza cui tener conto fin dalla fase di definizione di nuovi processi o nella implementazione di nuovi sistemi tecnologici; GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 5 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 formazione dei lavoratori, effettuata con specifico riferimento alla mansione svolta ed aggiornata periodicamente, e informazione del personale affinché ciascuno assuma consapevolmente le proprie responsabilità in materia di sicurezza; la partecipazione di tutti i soggetti coinvolti nelle attività di sicurezza al raggiungimento degli obiettivi individuati, secondo le proprie attribuzioni e competenze. Si riportano di seguito, articolati in tematiche, i principi generali cui il Gruppo si ispira nella gestione della sicurezza. 5.1. Identificazione, classificazione e gestione delle informazioni e degli asset A tutela del patrimonio informativo aziendale deve essere effettuata una classificazione delle informazioni all’interno del Gruppo in modo da poterle gestire rispettando il loro livello di riservatezza ed importanza. Allo stesso modo deve essere previsto un processo per l’identificazione, la classificazione e la gestione degli asset ICT del Gruppo che trattano tali informazioni. E’ necessario che sia disposto un inventario delle informazioni e degli asset ICT per garantire un’appropriata protezione degli stessi. L’identificazione, la classificazione e la gestione riguarderà quindi: le informazioni aziendali: per informazioni aziendali si intendono le informazioni che hanno una rilevanza per il Gruppo indipendentemente dalla forma in cui sono aggregate e dalla tecnologia utilizzata per il loro trattamento, posso comprendere ad esempio manuali, procedure di supporto e operative, policy, comunicazioni interne, log; le risorse software: quali ad esempio software di base e applicativo, strumenti di sviluppo, programmi di utilità; le risorse hardware: quali ad esempio computer portatili e fissi, apparati di comunicazione ed eventualmente supporti di memorizzazione anche rimovibili. Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza ed integrità coerenti ed appropriati. La criticità delle informazioni deve essere valutata in maniera quanto più oggettiva possibile, attraverso l’utilizzo di adeguate metodologie di lavoro. Le modalità di gestione ed i sistemi di protezione per le informazioni devono essere coerenti con il livello di criticità identificato, per tale motivo deve essere resa disponibile una procedura specifica sulle modalità di gestione delle informazioni classificate. A supporto del processo di classificazione delle informazioni e degli asset del Gruppo, devono essere condotte attività di Analisi dei Rischi per consentire al Gruppo di acquisire la consapevolezza e la visibilità sul livello di esposizione al rischio del proprio sistema informativo sulla cui base sono individuate le misure di sicurezza idonee. La valutazione del rischio consiste nella sistematica considerazione dei seguenti elementi: • danno che può derivare dalla mancanza di sicurezza del sistema informativo, considerando le potenziali conseguenze derivanti dalla perdita di riservatezza, integrità, disponibilità, autenticità e non ripudio delle GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 6 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 informazioni; • realistica probabilità di come sia possibile perpetrare un attacco alla luce delle minacce individuate. I risultati della valutazione aiutano a determinare quali sono le azioni necessarie per gestire i rischi individuati e ad implementare, a seguito di una selezione delle misure di sicurezza nonché in base alla individuazione del livello di rischio residuo, quali sono quelle più idonee/coerenti rispetto ai propri obiettivi. 5.2. Gestione della Sicurezza Informatica nell’Ambito dei Rapporti con le Terze Parti E’ necessario garantire la sicurezza delle Risorse ICT del Gruppo fornite ed accedute dai soggetti terzi (fornitori, consulenti, partner) ai fini dell’esecuzione degli specifici obblighi contrattuali e nei limiti dell’autorizzazione assegnata. Devono essere definite contrattualmente con gli outsourcer le procedure di sicurezza del Gruppo da applicare nonché le normative cogenti, i controlli da attuare per assicurare un adeguato livello di protezione delle informazioni trattate, i livelli di servizio da garantire ai fini della continuità operativa, nonché le relative responsabilità, anche giuridiche, derivanti in caso di inosservanza. Devono altresì essere previste specifiche clausole riguardanti la disponibilità del fornitore a garantire il supporto necessario per affidare gli incarichi ad altri fornitori individuati dal Gruppo. 5.3. Gestione della Sicurezza Informatica nei Rapporti con il Personale Al fine di garantire la sicurezza dei sistemi del patrimonio informativo del Gruppo deve essere assicurato che tutto il personale impiegato nelle attività inerenti l’ICT abbia le necessarie competenze e capacità per il ruolo assegnato e che sia consapevole del ruolo e delle responsabilità nel sistema di gestione della sicurezza. Per tale motivo risulta di fondamentale importanza definire i requisiti cui occorre rifarsi nonché le attività cui occorre prestare attenzione nell’ambito della gestione del personale: Nelle fasi di selezione ed ingresso del personale nelle aziende del Gruppo devono essere valutati i livelli di conoscenza degli obiettivi e delle problematiche di sicurezza aziendale in funzione delle attività che dovranno essere svolte; Durante la permanenza nella aziende del Gruppo il personale deve ricevere un’adeguata e continuativa formazione inerente le tematiche di sicurezza delle informazioni. Devono essere indicati i principi e le regole da seguire in caso di chiusura del rapporto di lavoro con il Gruppo o in caso di cambio della mansione da parte del dipendente o collaboratore in linea con la normativa vigente e con le politiche aziendali di sicurezza. Tali principi devono essere riportati all’interno di una procedura specifica che descriva il processo da seguire, e l’elenco degli asset che devono essere restituiti in caso di cessazione del rapporto di lavoro. Di seguito un elenco dei principali: o Badge identificativi; o Chiavi elettroniche o badge per accesso di servizio; GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 7 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS 5.4. Versione 2.0 o Token per la generazione delle password di accesso ai sistemi; o Laptop e PC; o Hardware e Software; o Device mobili (iPad, Tablet, PDA, ecc...) e periferiche; o Telefoni cellulari; o Manuali e qualsiasi documento cartaceo; o Proprietà intellettuale del Gruppo Editoriale L’Espresso. Data: Febbraio 2016 Sicurezza fisica, degli ambienti e delle apparecchiature Al fine di garantire a tutte le informazioni del Gruppo adeguati livelli di tutela occorre che vengano definite e mantenute opportune soluzioni di sicurezza anche con riferimento agli ambienti all’interno dei quali le stesse vengono trattate e alle apparecchiature per mezzo delle quali vengono gestite. Con riferimento agli ambienti occorre prestare attenzione tanto agli edifici principali quanto alle singole aree di lavoro e di transito, come ad esempio le aree di carico e scarico. Dovranno quindi essere implementate misure di sicurezza nei seguenti cinque ambiti di intervento: sicurezza perimetrale, accessi fisici, sicurezza di uffici, stanze ed attrezzature, sicurezza delle aree sicure, videosorveglianza. Per quanto attiene le apparecchiature, la gestione della sicurezza non deve interessare solo gli strumenti attraverso i quali le informazioni vengono gestite ma anche tutte quelle che possono essere definite “strumentazioni a supporto” quali ad esempio i cavi di alimentazione e i cablaggi di rete, con particolare attenzione allo smaltimento e riutilizzo in sicurezza. Al fine di prevenire l’accesso alle sedi del Gruppo a personale non autorizzato deve essere predisposta una procedura specifica che illustri le modalità di accesso. Tale procedura dovrà normare: l’accesso ai locali in base alla criticità delle informazioni in essi trattate; l’accesso per il personale esterno e per i visitatori, indicando dati da registrare al momento dell’ingresso nelle sedi del Gruppo; le modalità di tracciamento delle presenze nell’edificio per scopi di sicurezza. Dovrà inoltre essere predisposta una procedura specifica per l’accesso alle cosiddette aree sicure (CED, ecc..), quelle aree che prevedono l’accesso ad un numero limitato di persone con modalità di accesso più stringenti. GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 8 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS 5.5. Versione 2.0 Data: Febbraio 2016 Gestione sicura degli accessi logici Per un corretto accesso ai sistemi informatici, al fine di garantire un adeguato livello di sicurezza, è necessario che vengano rispettati determinati requisiti da parte di chiunque abbia in carico o partecipi alla gestione degli accessi logici. Tali requisiti oltre a rispecchiare quanto richiesto dalle leggi e dalla normativa vigente si ispirano allo standard ISO/IEC 27001. La gestione sicura degli accessi logici si concentra sui requisiti di sicurezza che devono essere applicati durante l’intero ciclo di vita delle utenze: • creazione, • modifica, • sospensione, • ripristino, • revisione, • disabilitazione. Nello specifico, deve essere garantito l’accesso alle risorse informatiche attraverso un processo di autenticazione che verifichi le credenziali di accesso fornite dall’utente. Tale requisito ha valenza anche qualora l’accesso avvenga da parte di un outsourcer. Per quanto riguarda i profili di autorizzazione, questi devono essere individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le attività in carico. Le eccezioni a tale regola devono essere documentate, giustificate e approvate dal Responsabile di riferimento. Questo implica che l’autorizzazione all’accesso deve essere verificata periodicamente (almeno una volta l’anno) e sospesa qualora non esista più la necessità di disporre di dati e/o risorse IT. Qualora si verificasse un’assenza prolungata o un impedimento che renda impossibile l’accesso ai dati trattati da parte di un dipendente/collaboratore è indispensabile intervenire per esclusive necessità di operatività e di sicurezza dell’Azienda attraverso: la sospensione dell’utenza del dipendente impossibilitato ad accedere; se necessaria, l’associazione del profilo di accesso ad un altro dipendente/collaboratore. 5.6. Sicurezza Informatica nell’Ambito del Ciclo di vita dei sistemi e dei servizi Per tutti i sistemi ed i servizi IT è possibile identificare uno specifico ciclo di vita, vale a dire una sequenza di fasi nell’ambito delle quali diverse sono le logiche ed i principi di gestione cui occorre rifarsi. Nello specifico, le fasi del ciclo di vita risultano essere le seguenti: Progettazione: o raccolta e formalizzazione dei requisiti, o stesura delle specifiche di progettazione. Realizzazione – sviluppo: GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 9 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS o definizione dei requisiti di sicurezza. verifica dell’implementazione delle funzionalità sulla base dei requisiti di sicurezza; Gestione del passaggio in produzione: o definizione delle politiche di Backup/Restore; o definizione delle politiche di tracciamento e monitoraggio; o definizione dei piani formativi. Gestione in produzione: o Data: Febbraio 2016 Test e integrazione: o Versione 2.0 monitoraggio dei livelli di sicurezza conformi a quanto stabilito in fase di realizzazione/sviluppo. Dismissione: o Dimissione dei sistemi seguendo la politica definita. Adottare ed integrare gli aspetti di sicurezza delle informazioni in tutte le fasi del ciclo di vita dei sistemi e dei servizi IT progettati, sviluppati, utilizzati o gestiti dal Gruppo o da terze parti per suo conto, consente la protezione ottimale dei sistemi e dei servizi IT nonché delle informazioni e dei dati trattati. Per ciascuna delle fasi sopracitate devono essere tracciati i requisiti che occorre rispettare per poter tutelare il patrimonio informativo del Gruppo e garantire tramite l’utilizzo di meccanismi di protezione dei dati la riservatezza, integrità, disponibilità, autenticità e non ripudio. Particolare enfasi nell’affrontare il tema legato al ciclo di vita dei sistemi e dei servizi, va riservata: all’infrastruttura di rete che deve garantire la salvaguardia delle informazioni presenti o transitanti su di essa e la protezione dei sistemi interconnessi tramite essa; al Back-up e Restore che devono essere in grado di garantire il recupero delle informazioni a fronte di un disastro o un “failure” dei sistemi. 5.6.1. Gestione sicura della rete aziendale L’attività di gestione della rete aziendale deve fornire tutti gli strumenti necessari al Gruppo per operare e nello stesso tempo mantenere un livello adeguato di sicurezza a difesa delle proprie risorse. La gestione sicura della rete parte dalla valutazione della frontiera della rete aziendale e implica considerazioni sul monitoring, sul flusso dei dati e sulle configurazioni degli apparati. Tutti i dispositivi di rete devono essere censiti e devono essere individuati i principi per una gestione in sicurezza di tali dispositivi. Particolare attenzione dovrà essere prestata alla documentazione di rete. Dovranno essere definiti i principi cui tutti i dipendenti/collaboratori dovranno attenersi in tema di accessi da remoto o accesso tramite rete wireless. Devono infine essere adottati idonei dispositivi di sicurezza quali: Proxy, Firewall, Sistemi antivirus e IDS a protezione della rete aziendale e quindi delle informazioni. GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 10 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS 5.6.2. Versione 2.0 Data: Febbraio 2016 Back-up e Restore Devono essere previste adeguate procedure di back-up per preservare l’integrità e garantire la disponibilità delle informazioni del Gruppo (ad esempio in caso di manomissioni, atti vandalici, contaminazione da virus, perdita o distruzione anche involontaria). I sistemi sottoposti a backup si distinguono in quattro categorie: Apparati di Rete; Apparati di Sicurezza (Firewall, IDS, etc.); Sistemi di produzione; Sistemi di Test e o Sviluppo (dove ritenuto necessario). Per ognuna di queste categorie devono essere eseguiti i backup, laddove applicabile, per: File system/configurazioni applicazioni; File system dedicati a sistemi operativi; Data Base. Per quanto riguarda le singole postazioni di lavoro, gli utenti sono responsabili dei dati salvati in locale ricade infatti sugli stessi la responsabilità di salvare documenti e dati di interesse aziendale anche sui server centrali soggetti a regole di back-up periodico. Deve inoltre essere fornito, su richiesta, supporto per il backup dei dati salvati nei PC aziendali. Nel caso di sostituzione degli stessi deve essere avviato un processo di supporto per replicare i dati ed evitare quindi perdite nel trasferimento. I supporti di backup dei dati devono essere custoditi all’interno di repository dotati di tutte le caratteristiche di sicurezza richieste da tali infrastrutture. Il tempo di retention delle informazioni/dati sottoposti a backup deve essere coerente con quanto stabilito a livello contrattuale nonché con le previsioni discendenti dalla normativa applicabile, tenuto conto anche della tipologia di dati archiviati. Deve essere predisposta una procedura specifica per il backup che tenga conto delle procedure di restore e non tralasci le procedure di test per il restore, assicurando che queste ultime vengano testate con regolarità. 5.7. Gestione degli eventi anomali e degli incidenti rilevanti ai fini della sicurezza Al fine di preservare il proprio patrimonio informativo e garantire il rispetto delle previsioni di natura normativa il Gruppo deve essere in grado di prevenire i potenziali eventi anomali/incidenti o di farvi fronte nel momento in cui si manifestano assicurando interventi in tempi limitati e che minimizzino gli impatti sull’attività di business. GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 11 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS Versione 2.0 Data: Febbraio 2016 Per tale scopo è importante definire i requisiti cui attenersi e descrivere le attività cui dare luogo per prevenire potenziali eventi anomali/incidenti e per garantire la loro analisi e risoluzione nel momento in cui dovessero concretizzarsi. Le attività devono essere descritte e raggruppate in: • attività preventive: prevenzione ed individuazione di potenziali eventi anomali/incidenti; • attività reattive: attuazione di attività al verificarsi di un evento anomalo/incidente; • attività investigative: analisi degli eventi registrati per l’identificazione delle responsabilità, per la valutazione dei danni subiti e per il miglioramento delle attività preventive e reattive; • formazione: sensibilizzazione del personale sui casi standard in cui può prefigurarsi un evento anomalo/incidente e sulle modalità più comuni di gestione dello stesso. Dovrà inoltre essere data particolare enfasi ai piani di escalation al fine di mantenere gli interventi risolutivi costantemente in linea rispetto alle reali necessità. 5.8. Monitoraggio, tracciamento e verifiche tecniche 5.8.1. Monitoraggio Scopo delle attività di monitoraggio è quello di rilevare situazioni critiche, accessi non autorizzati e di ottenere indicazioni sull’utilizzo dei sistemi, nel rispetto delle regole stabilite dal Gruppo o previste dalla normativa applicabile. In particolare il monitoraggio deve: garantire adeguati livelli di confidenzialità e integrità per i dati raccolti e non alterare i livelli di disponibilità dei sistemi controllati; essere integrato con un sistema strutturato di parametri ed alert per la rilevazione, segnalazione e gestione degli incidenti. consentire proiezioni sull’evoluzione futura dei requisiti di capacità dei sistemi (Capacity Management) a garanzia del fatto che le performance richieste siano effettivamente soddisfatte. 5.8.2. Tracciamento L’attività di tracciamento riguarda la registrazione e archiviazione di tutte le informazioni che permettono di identificare e descrivere in modo dettagliato l’evento oggetto del monitoraggio. Il risultato delle attività di tracciamento deve contenere un set di informazioni coerente e consistente con le finalità dell’analisi e si dovrà tener conto di specifici requisiti durante le fasi di: • Raccolta: la raccolta dei dati del tracciamento deve essere centralizzata e devono essere predisposti meccanismi che garantiscano la sincronizzazione temporale delle sorgenti di log. • Conservazione: la conservazione deve essere adeguatamente protetta da cancellazioni volontarie o involontarie, per un periodo di tempo prestabilito, nel rispetto delle leggi e delle normative vigenti; GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 12 di 13 TECHNICAL STANDARD: Politica Generale per la Sicurezza Informatica Emissione: DPSS • Versione 2.0 Data: Febbraio 2016 Archiviazione: l’archiviazione dei log deve avvenire secondo quanto richiesto dalla normativa vigente ed in ogni caso adottando soluzioni di sicurezza adeguate alla criticità del dato, per esempio dati sensibili o giudiziari. Le attività di tracciamento sono soggette e regolate dalla normativa vigente. 5.8.3. Verifiche Tecniche Le verifiche tecniche riguardano attività di controllo sull’implementazione dell’efficacia ed efficienza delle misure di sicurezza dei sistemi del Gruppo. Allo scopo di non causare perdite di dati o misconfigurazioni, durante le attività di verifica l’accesso ai sistemi deve avvenire in sola lettura (eccezioni a queste prescrizioni devono essere espressamente autorizzate) ed in caso di utilizzo di prodotti specifici, questi devono avere caratteristiche di elevata affidabilità previa verifica in ambente di test o in laboratorio. Tali attività devono essere condotte senza l’interruzione dei sistemi: nei soli casi in cui l’interruzione dei sistemi risultasse necessaria questa deve essere concordata e pianificata. Infine deve essere garantita la riservatezza e la confidenzialità delle informazioni relative alle verifiche e ai sistemi analizzati; a tal riguardo, le aziende esterne coinvolte nelle verifiche tecniche devono sottoscrivere accordi di riservatezza aziendali (NDA). 5.9. Gestione della Compliance Il rispetto delle normative vigenti è di notevole importanza dal momento che queste possono influenzare le scelte tecnologiche e di processo effettuate nel Gruppo. La corretta applicazione della normativa rappresenta inoltre l’opportunità di tutelare il Gruppo da eventuali compromissioni del patrimonio informativo o da accuse che ricadono nelle seguenti norme di legge: • L. 547 del 23/12/1993 “Norme Codice Penale e Procedura Penale in tema di Criminalità Informatica”; • L. 633 del 22/04/1941 “Protezione del Diritto d’Autore e di altri diritti connessi al suo esercizio”; • D.Lgs 196 del 30/06/2003 “Codice in Materia di Protezione dei Dati Personali”; • Provvedimento del Garante Privacy del 27/11/2008: “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”; • Provvedimento del Garante Privacy dell’8/04/2010: “Provvedimento in materia di videosorveglianza”; • D.Lgs 231 del 08/06/2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”. GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx Gruppo Editoriale l’Espresso S.p.A. Pagina 13 di 13