Politica Generale per la Sicurezza Informatica

Transcript

TECHNICAL STANDARDS
POLITICA GENERALE PER LA
SICUREZZA INFORMATICA
VERSIONE:
2.0
DATA:
EMISSIONE:
Direzione Produzione, Sistemi informativi e Servizi generali (DPSS)
Febbraio 2016
TABELLA DELLE REVISIONI
N° Rev.
1.0
2.0
Data
Causale Revisione
Aprile 2013
Prima emissione
Febbraio 2016
Seconda emissione
GELE - Politica Generale per la Sicurezza Informatica_v2.0.docx
Note
Gruppo Editoriale l’Espresso S.p.A.
Pagina 1 di 13
TECHNICAL STANDARD:
Emissione: DPSS
Versione 2.0
Data: Febbraio 2016
INDICE
1.
Scopo del documento ................................................................................................................................... 3
2.
Ambito di applicazione, ruoli e compiti ....................................................................................................... 3
3.
Acronimi e definizioni ................................................................................................................................... 4
4.
Documenti applicabili e Riferimenti ............................................................................................................. 5
5.
Politica Generale............................................................................................................................................ 5
5.1.
Identificazione, classificazione e gestione delle informazioni e degli asset ............................................ 6
5.2.
Gestione della Sicurezza Informatica nell’Ambito dei Rapporti con le Terze Parti .................................. 7
5.3.
Gestione della Sicurezza Informatica nei Rapporti con il Personale ........................................................ 7
5.4.
Sicurezza fisica, degli ambienti e delle apparecchiature ........................................................................... 8
5.5.
Gestione sicura degli accessi logici ............................................................................................................ 9
5.6.
Sicurezza Informatica nell’Ambito del Ciclo di vita dei sistemi e dei servizi............................................ 9
5.6.1.
Gestione sicura della rete aziendale ......................................................................................................10
5.6.2.
Back-up e Restore ...................................................................................................................................11
5.7.
Gestione degli eventi anomali e degli incidenti rilevanti ai fini della sicurezza ......................................11
5.8.
Monitoraggio, tracciamento e verifiche tecniche .......................................................................................12
5.8.1.
Monitoraggio ............................................................................................................................................12
5.8.2.
Tracciamento............................................................................................................................................12
5.8.3.
Verifiche Tecniche ...................................................................................................................................13
5.9.
Gestione della Compliance ..........................................................................................................................13
Pagina 2 di 13
TECHNICAL STANDARD:
Emissione: DPSS
Versione 2.0
Data: Febbraio 2016
1. Scopo del documento
Lo scopo della Politica Generale per la Sicurezza Informatica (di seguito “Politica di Sicurezza”) è quello di descrivere
i principi generali che il Gruppo ha fatto propri al fine di realizzare e mantenere un efficiente e sicuro Sistema di
Gestione della Sicurezza delle Informazioni ispirato allo Standard ISO/IEC 27001. Tale Sistema ha come obiettivo
primario la protezione delle informazioni e degli elementi del sistema informativo che si occupano della loro
gestione. In particolare, perseguire la sicurezza informatica significa definire, conseguire e mantenere le seguenti
proprietà delle informazioni (dette anche parametri di sicurezza):

Riservatezza: assicura che l’informazione sia accessibile solamente a coloro che hanno le dovute
autorizzazioni;

Integrità: salvaguarda la completezza dell’informazione dal rischio di cancellazioni o modifiche di
informazioni a seguito sia di fatti accidentali e/o naturali, sia di atti dolosi di soggetti non autorizzati;

Disponibilità: assicura che gli utenti autorizzati possano fruire del sistema informativo e accedere ed
utilizzare le informazioni;

Autenticità: garantisce la provenienza dell’informazione;

Non ripudio: assicura che l’informazione sia protetta da falsa negazione di ricezione, trasmissione,
creazione, trasporto, consegna e ricevuta.
La mancanza di adeguati livelli di sicurezza, in termini di Riservatezza, Disponibilità, Integrità, Autenticità e Non
Ripudio può comportare, nell’ambito di una qualsiasi attività aziendale, il peggioramento dell’immagine dell’azienda,
la mancata soddisfazione da parte del cliente nonché danni di natura economica e finanziaria. A tutto ciò bisogna
aggiungere il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti.
2. Ambito di applicazione, ruoli e compiti
La Politica per la Sicurezza informatica è rivolta e si applica a tutti coloro che sono impegnati nell’espletamento delle
proprie funzioni e nella fornitura di servizi per far si che conoscano tutte le azioni messe in campo dal Gruppo
Editoriale l’Espresso volte a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa, colposa,
incidentale che possono danneggiare le risorse materiali, immateriali, organizzative, informative di cui il Gruppo
dispone o di cui necessita per garantirsi un’adeguata capacità produttiva nel breve, medio e lungo periodo.
Il modello organizzativo di riferimento per l’attuazione della Politica di Sicurezza dell’ICT del Gruppo è il modello già
in essere per gli obblighi di legge in materia di Sicurezza sul Lavoro e Tutela Ambientale e di sicurezza Informatica
come da Dlg. 231/2001 e D.Lgs 196/2003 e successive modifiche. (Datore di Lavoro a livello di Società / Divisione
Operativa, Dirigenti Delegati, Responsabili Tecnici Preposti, ecc ecc) .
I Technical Standards, nei capitoli specifici della politica generale della sicurezza informatica e delle norme
comportamentali per la gestione sicura delle risorse aziendali,
emessi dalla Direzione Produzione, Sistemi
Informativi e Servizi Generali, hanno lo scopo di introdurre i riferimenti uniformi per la protezione delle Infrastrutture
centrali e comuni di Gruppo, il coordinamento dei progetti di evoluzione in modo conforme alle garanzie generali
Pagina 3 di 13
TECHNICAL STANDARD:
Emissione: DPSS
Versione 2.0
Data: Febbraio 2016
sulla gestione sicura delle risorse di Gruppo e come indirizzo e controllo della sicurezza generale dei sistemi produttivi
e di Business Continuity
Il modello organizzativo potrà essere integrato e formalizzato come allegato alla politica al termine del periodo di
verifica e completamento su progetti pilota, con l’eventuale estrapolazione di un parte più propriamente destinata a
procedure e vincoli ed una parte necessariamente di indirizzo tecnico come riferimenti standard e metodi di lavoro
uniformi per tutto il Gruppo.
3. Acronimi e definizioni
Accesso logico - Uso delle risorse da parte dei processi e degli utenti che si esplica attraverso la verifica e la gestione dei diritti
d'accesso.
Autenticità – Parametro di sicurezza che garantisce la provenienza dell’informazione.
Autorità Competenti - A titolo esemplificativo ma non esaustivo: Polizia Giudiziaria (Carabinieri, Polizia di Stato, Guardia di
Finanza), ANSF, RFI, uffici tecnici ministeriali, antitrust, ecc.
Back-up - Salvataggio/copia di sicurezza, raccolta di dati ed informazioni su un supporto diverso da quello usato normalmente; il
fine di tale attività è garantire il recupero delle informazioni in caso di danneggiamento del supporto primario.
Disponibilità – Parametro di sicurezza che assicura l’accesso alle informazioni e agli elementi architetturali associati agli utenti
nel momento in cui ne fanno richiesta.
Dati giudiziari - Ai sensi del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) con tale termine si intendono “i
dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre
2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Dati personali - Ai sensi del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) con tale termine si intende
“qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Dati sensibili - Ai sensi del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) con tale termine si intendono “i
dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rivelare lo stato di salute e la vita sessuale”.
Evento - Qualsiasi cambio di stato che ha rilevanza ai fini della gestione di un qualsiasi elemento infrastrutturale o di servizio.
Evento Anomalo - Qualsiasi evento che non fa parte dell’operatività standard di un’infrastruttura o di un servizio.
Gruppo - Tale termine si riferisce al Gruppo Editoriale L’Espresso (GELE) e alle società da essa controllate.
Hardening - Insieme di azioni atte ad analizzare le funzionalità di un sistema operativo/applicazione al fine di individuare la
configurazione ottima che permetta di innalzare il livello di sicurezza e ridurre il rischio residuo connesso alle debolezze dei
sistemi.
HW – Hardware.
Incidente - Qualsiasi evento in grado di interferire sulla normale operatività, alterando le performance o provocando delle
conseguenze in termini di riservatezza, integrità o disponibilità delle singole attività e servizi.
Integrità – Parametro di sicurezza che garantisce la salvaguardia della completezza dell’informazione e delle sue modalità di
trasferimento. Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate.
Solo il personale autorizzato può modificare la configurazione di un sistema o l’informazione trasmessa su una rete.
Need to know - È un principio generale sviluppato nella gestione dei sistemi di sicurezza secondo il quale i soggetti che devono
compiere attività di trattamento di informazioni sono autorizzati a trattare i soli dati essenziali allo svolgimento del mansionario
loro attribuito.
Non ripudio – Parametro di sicurezza che assicura la protezione dell’informazione da falsa negazione di ricezione, trasmissione,
creazione, trasporto, consegna e ricevuta.
Pagina 4 di 13
TECHNICAL STANDARD:
Emissione: DPSS
Versione 2.0
Data: Febbraio 2016
Riservatezza – Parametro di sicurezza che assicura l’accessibilità dell’informazione solamente a coloro che detengono le dovute
autorizzazioni. L’informazione deve essere accessibile solo a chi è autorizzato a conoscerla, le informazioni devono essere
protette sia durante la trasmissione che durante la memorizzazione.
Supporti di memorizzazione - Si considerano, con questo termine, tutte le tipologie di supporti che possono contenere
informazioni, ad es. chiavi USB, CD, DVD, hard disk portatili.
SW – Software.
Technical Standards – insieme di indirizzi, metodologie e norme di carattere tecnico, gestionale, logistico per utilizzo uniforme
di Best Practices nell’ambito del Gruppo e con lo scopo di sincronizzare e proteggere l’uso ordinario e straordinario delle risorse
comuni e in particolare delle infrastrutture dei processi produttivi comuni e/o integrati.
Virus - Programma in grado di danneggiare, anche irreversibilmente, i dati e le applicazioni di un computer. Sovente può essere
introdotto da un messaggio di posta elettronica o scaricando dei file non sicuri da Internet.
4. Documenti applicabili e Riferimenti
Norme di legge

D.Lgs 196/2003

D.Lgs 231/2001

ISO\IEC 27001:2005 – “Information technology – Security techniques –
Information Security Management Systems - Requirements”

ISO/IEC 27002:2005 - “Information technology – Security techniques – Code
of practice for information security management”
Documenti emessi dal Gruppo



Codice Etico
Modello Organizzativo ex D.Lgs 231/01
Struttura Organizzativa
Documenti emessi

Norme Comportamentali per la Gestione Sicura delle Risorse Aziendali
Standard di Riferimento
5. Politica Generale
Il Gruppo intende formalizzare il proprio impegno nell’implementazione della Politica di Sicurezza tenendo conto
dell’attività svolta, della dimensione, della natura e del livello dei rischi. A tale fine il Gruppo si impegna a:

rispettare la normativa vigente, gli accordi e i regolamenti, inclusi quelli volontari nonché gli standard
individuati, in materia di sicurezza;

considerare la attività di sicurezza ed i risultati raggiunti come parte integrante della gestione aziendale al
pari di tutte le altre attività;

coinvolgere e consultare tutti i soggetti a qualunque titolo interessati;

riesaminare periodicamente la presente Politica;

diffondere all’interno dell’azienda gli obiettivi di sicurezza e i relativi programmi di attuazione;
Tali principi verranno perseguiti attraverso:

i requisiti di sicurezza cui tener conto fin dalla fase di definizione di nuovi processi o nella implementazione
di nuovi sistemi tecnologici;
Pagina 5 di 13
TECHNICAL STANDARD:
Emissione: DPSS

Versione 2.0
Data: Febbraio 2016
formazione dei lavoratori, effettuata con specifico riferimento alla mansione svolta ed aggiornata
periodicamente, e informazione del personale affinché ciascuno assuma consapevolmente le proprie
responsabilità in materia di sicurezza;

la partecipazione di tutti i soggetti coinvolti nelle attività di sicurezza al raggiungimento degli obiettivi
individuati, secondo le proprie attribuzioni e competenze.
Si riportano di seguito, articolati in tematiche, i principi generali cui il Gruppo si ispira nella gestione della sicurezza.
5.1.
Identificazione, classificazione e gestione delle informazioni e degli asset
A tutela del patrimonio informativo aziendale deve essere effettuata una classificazione delle informazioni all’interno
del Gruppo in modo da poterle gestire rispettando il loro livello di riservatezza ed importanza.
Allo stesso modo deve essere previsto un processo per l’identificazione, la classificazione e la gestione degli asset
ICT del Gruppo che trattano tali informazioni.
E’ necessario che sia disposto un inventario delle informazioni e degli asset ICT per garantire un’appropriata
protezione degli stessi.
L’identificazione, la classificazione e la gestione riguarderà quindi:

le informazioni aziendali: per informazioni aziendali si intendono le informazioni che hanno una rilevanza per
il Gruppo indipendentemente dalla forma in cui sono aggregate e dalla tecnologia utilizzata per il loro
trattamento, posso comprendere
ad esempio manuali, procedure di supporto e operative, policy,
comunicazioni interne, log;

le risorse software: quali ad esempio software di base e applicativo, strumenti di sviluppo, programmi di
utilità;

le risorse hardware: quali ad esempio computer portatili e fissi, apparati di comunicazione ed eventualmente
supporti di memorizzazione anche rimovibili.
Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di
riservatezza ed integrità coerenti ed appropriati. La criticità delle informazioni deve essere valutata in maniera quanto
più oggettiva possibile, attraverso l’utilizzo di adeguate metodologie di lavoro.
Le modalità di gestione ed i sistemi di protezione per le informazioni devono essere coerenti con il livello di criticità
identificato, per tale motivo deve essere resa disponibile una procedura specifica sulle modalità di gestione delle
informazioni classificate.
A supporto del processo di classificazione delle informazioni e degli asset del Gruppo, devono essere condotte
attività di Analisi dei Rischi per consentire al Gruppo di acquisire la consapevolezza e la visibilità sul livello di
esposizione al rischio del proprio sistema informativo sulla cui base sono individuate le misure di sicurezza idonee.
La valutazione del rischio consiste nella sistematica considerazione dei seguenti elementi:
•
danno che può derivare dalla mancanza di sicurezza del sistema informativo, considerando le potenziali
conseguenze derivanti dalla perdita di riservatezza, integrità, disponibilità, autenticità e non ripudio delle
Pagina 6 di 13
TECHNICAL STANDARD:
Emissione: DPSS
Versione 2.0
Data: Febbraio 2016
informazioni;
•
realistica probabilità di come sia possibile perpetrare un attacco alla luce delle minacce individuate.
I risultati della valutazione aiutano a determinare quali sono le azioni necessarie per gestire i rischi individuati e ad
implementare, a seguito di una selezione delle misure di sicurezza nonché in base alla individuazione del livello di
rischio residuo, quali sono quelle più idonee/coerenti rispetto ai propri obiettivi.
5.2.
Gestione della Sicurezza Informatica nell’Ambito dei Rapporti con le Terze Parti
E’ necessario garantire la sicurezza delle Risorse ICT del Gruppo fornite ed accedute dai soggetti terzi (fornitori,
consulenti, partner) ai fini dell’esecuzione degli specifici obblighi contrattuali e nei limiti dell’autorizzazione assegnata.
Devono essere definite contrattualmente con gli outsourcer le procedure di sicurezza del Gruppo da applicare nonché
le normative cogenti, i controlli da attuare per assicurare un adeguato livello di protezione delle informazioni trattate,
i livelli di servizio da garantire ai fini della continuità operativa, nonché le relative responsabilità, anche giuridiche,
derivanti in caso di inosservanza.
Devono altresì essere previste specifiche clausole riguardanti la disponibilità del fornitore a garantire il supporto
necessario per affidare gli incarichi ad altri fornitori individuati dal Gruppo.
5.3.
Gestione della Sicurezza Informatica nei Rapporti con il Personale
Al fine di garantire la sicurezza dei sistemi del patrimonio informativo del Gruppo deve essere assicurato che tutto il
personale impiegato nelle attività inerenti l’ICT abbia le necessarie competenze e capacità per il ruolo assegnato e
che sia consapevole del ruolo e delle responsabilità nel sistema di gestione della sicurezza.
Per tale motivo risulta di fondamentale importanza definire i requisiti cui occorre rifarsi nonché le attività cui occorre
prestare attenzione nell’ambito della gestione del personale:

Nelle fasi di selezione ed ingresso del personale nelle aziende del Gruppo devono essere valutati i livelli di
conoscenza degli obiettivi e delle problematiche di sicurezza aziendale in funzione delle attività che dovranno
essere svolte;

Durante la permanenza nella aziende del Gruppo il personale deve ricevere un’adeguata e continuativa
formazione inerente le tematiche di sicurezza delle informazioni.

Devono essere indicati i principi e le regole da seguire in caso di chiusura del rapporto di lavoro con il Gruppo
o in caso di cambio della mansione da parte del dipendente o collaboratore in linea con la normativa vigente
e con le politiche aziendali di sicurezza. Tali principi devono essere riportati all’interno di una procedura
specifica che descriva il processo da seguire, e l’elenco degli asset che devono essere restituiti in caso di
cessazione del rapporto di lavoro. Di seguito un elenco dei principali:
o
Badge identificativi;
o
Chiavi elettroniche o badge per accesso di servizio;
Pagina 7 di 13
TECHNICAL STANDARD:
Emissione: DPSS
5.4.
Versione 2.0
o
Token per la generazione delle password di accesso ai sistemi;
o
Laptop e PC;
o
Hardware e Software;
o
Device mobili (iPad, Tablet, PDA, ecc...) e periferiche;
o
Telefoni cellulari;
o
Manuali e qualsiasi documento cartaceo;
o
Proprietà intellettuale del Gruppo Editoriale L’Espresso.
Data: Febbraio 2016
Sicurezza fisica, degli ambienti e delle apparecchiature
Al fine di garantire a tutte le informazioni del Gruppo adeguati livelli di tutela occorre che vengano definite e
mantenute opportune soluzioni di sicurezza anche con riferimento agli ambienti all’interno dei quali le stesse vengono
trattate e alle apparecchiature per mezzo delle quali vengono gestite.
Con riferimento agli ambienti occorre prestare attenzione tanto agli edifici principali quanto alle singole aree di lavoro
e di transito, come ad esempio le aree di carico e scarico. Dovranno quindi essere implementate misure di sicurezza
nei seguenti cinque ambiti di intervento:

sicurezza perimetrale,

accessi fisici,

sicurezza di uffici, stanze ed attrezzature,

sicurezza delle aree sicure,

videosorveglianza.
Per quanto attiene le apparecchiature, la gestione della sicurezza non deve interessare solo gli strumenti attraverso
i quali le informazioni vengono gestite ma anche tutte quelle che possono essere definite “strumentazioni a supporto”
quali ad esempio i cavi di alimentazione e i cablaggi di rete, con particolare attenzione allo smaltimento e riutilizzo in
sicurezza.
Al fine di prevenire l’accesso alle sedi del Gruppo a personale non autorizzato deve essere predisposta una
procedura specifica che illustri le modalità di accesso. Tale procedura dovrà normare:

l’accesso ai locali in base alla criticità delle informazioni in essi trattate;

l’accesso per il personale esterno e per i visitatori, indicando dati da registrare al momento dell’ingresso nelle
sedi del Gruppo;

le modalità di tracciamento delle presenze nell’edificio per scopi di sicurezza.
Dovrà inoltre essere predisposta una procedura specifica per l’accesso alle cosiddette aree sicure (CED, ecc..),
quelle aree che prevedono l’accesso ad un numero limitato di persone con modalità di accesso più stringenti.
Pagina 8 di 13
TECHNICAL STANDARD:
Emissione: DPSS
5.5.
Versione 2.0
Data: Febbraio 2016
Gestione sicura degli accessi logici
Per un corretto accesso ai sistemi informatici, al fine di garantire un adeguato livello di sicurezza, è necessario che
vengano rispettati determinati requisiti da parte di chiunque abbia in carico o partecipi alla gestione degli accessi
logici. Tali requisiti oltre a rispecchiare quanto richiesto dalle leggi e dalla normativa vigente si ispirano allo standard
ISO/IEC 27001.
La gestione sicura degli accessi logici si concentra sui requisiti di sicurezza che devono essere applicati durante
l’intero ciclo di vita delle utenze:
•
creazione,
•
modifica,
•
sospensione,
•
ripristino,
•
revisione,
•
disabilitazione.
Nello specifico, deve essere garantito l’accesso alle risorse informatiche attraverso un processo di autenticazione
che verifichi le credenziali di accesso fornite dall’utente. Tale requisito ha valenza anche qualora l’accesso avvenga
da parte di un outsourcer.
Per quanto riguarda i profili di autorizzazione, questi devono essere individuati e configurati anteriormente all'inizio
del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le attività in carico. Le eccezioni a
tale regola devono essere documentate, giustificate e approvate dal Responsabile di riferimento. Questo implica che
l’autorizzazione all’accesso deve essere verificata periodicamente (almeno una volta l’anno) e sospesa qualora non
esista più la necessità di disporre di dati e/o risorse IT.
Qualora si verificasse un’assenza prolungata o un impedimento che renda impossibile l’accesso ai dati trattati da
parte di un dipendente/collaboratore è indispensabile intervenire per esclusive necessità di operatività e di sicurezza
dell’Azienda attraverso:

la sospensione dell’utenza del dipendente impossibilitato ad accedere;

se necessaria, l’associazione del profilo di accesso ad un altro dipendente/collaboratore.
5.6.
Sicurezza Informatica nell’Ambito del Ciclo di vita dei sistemi e dei servizi
Per tutti i sistemi ed i servizi IT è possibile identificare uno specifico ciclo di vita, vale a dire una sequenza di fasi
nell’ambito delle quali diverse sono le logiche ed i principi di gestione cui occorre rifarsi. Nello specifico, le fasi del
ciclo di vita risultano essere le seguenti:


Progettazione:
o
raccolta e formalizzazione dei requisiti,
o
stesura delle specifiche di progettazione.
Realizzazione – sviluppo:
Pagina 9 di 13
TECHNICAL STANDARD:
Emissione: DPSS
o


definizione dei requisiti di sicurezza.
verifica dell’implementazione delle funzionalità sulla base dei requisiti di sicurezza;
Gestione del passaggio in produzione:
o
definizione delle politiche di Backup/Restore;
o
definizione delle politiche di tracciamento e monitoraggio;
o
definizione dei piani formativi.
Gestione in produzione:
o

Data: Febbraio 2016
Test e integrazione:
o

Versione 2.0
monitoraggio dei livelli di sicurezza conformi a quanto stabilito in fase di realizzazione/sviluppo.
Dismissione:
o
Dimissione dei sistemi seguendo la politica definita.
Adottare ed integrare gli aspetti di sicurezza delle informazioni in tutte le fasi del ciclo di vita dei sistemi e dei servizi
IT progettati, sviluppati, utilizzati o gestiti dal Gruppo o da terze parti per suo conto, consente la protezione ottimale
dei sistemi e dei servizi IT nonché delle informazioni e dei dati trattati. Per ciascuna delle fasi sopracitate devono
essere tracciati i requisiti che occorre rispettare per poter tutelare il patrimonio informativo del Gruppo e garantire
tramite l’utilizzo di meccanismi di protezione dei dati la riservatezza, integrità, disponibilità, autenticità e non
ripudio.
Particolare enfasi nell’affrontare il tema legato al ciclo di vita dei sistemi e dei servizi, va riservata:

all’infrastruttura di rete che deve garantire la salvaguardia delle informazioni presenti o transitanti su di
essa e la protezione dei sistemi interconnessi tramite essa;

al Back-up e Restore che devono essere in grado di garantire il recupero delle informazioni a fronte di un
disastro o un “failure” dei sistemi.
5.6.1.
Gestione sicura della rete aziendale
L’attività di gestione della rete aziendale deve fornire tutti gli strumenti necessari al Gruppo per operare e nello stesso
tempo mantenere un livello adeguato di sicurezza a difesa delle proprie risorse.
La gestione sicura della rete parte dalla valutazione della frontiera della rete aziendale e implica considerazioni sul
monitoring, sul flusso dei dati e sulle configurazioni degli apparati.
Tutti i dispositivi di rete devono essere censiti e devono essere individuati i principi per una gestione in sicurezza di
tali dispositivi. Particolare attenzione dovrà essere prestata alla documentazione di rete.
Dovranno essere definiti i principi cui tutti i dipendenti/collaboratori dovranno attenersi in tema di accessi da remoto
o accesso tramite rete wireless.
Devono infine essere adottati idonei dispositivi di sicurezza quali: Proxy, Firewall, Sistemi antivirus e IDS a protezione
della rete aziendale e quindi delle informazioni.
Pagina 10 di 13
TECHNICAL STANDARD:
Emissione: DPSS
5.6.2.
Versione 2.0
Data: Febbraio 2016
Back-up e Restore
Devono essere previste adeguate procedure di back-up per preservare l’integrità e garantire la disponibilità delle
informazioni del Gruppo (ad esempio in caso di manomissioni, atti vandalici, contaminazione da virus, perdita o
distruzione anche involontaria).
I sistemi sottoposti a backup si distinguono in quattro categorie:

Apparati di Rete;

Apparati di Sicurezza (Firewall, IDS, etc.);

Sistemi di produzione;

Sistemi di Test e o Sviluppo (dove ritenuto necessario).
Per ognuna di queste categorie devono essere eseguiti i backup, laddove applicabile, per:

File system/configurazioni applicazioni;

File system dedicati a sistemi operativi;

Data Base.
Per quanto riguarda le singole postazioni di lavoro, gli utenti sono responsabili dei dati salvati in locale ricade infatti
sugli stessi la responsabilità di salvare documenti e dati di interesse aziendale anche sui server centrali soggetti a
regole di back-up periodico.
Deve inoltre essere fornito, su richiesta, supporto per il backup dei dati salvati nei PC aziendali. Nel caso di
sostituzione degli stessi deve essere avviato un processo di supporto per replicare i dati ed evitare quindi perdite nel
trasferimento.
I supporti di backup dei dati devono essere custoditi all’interno di repository dotati di tutte le caratteristiche di
sicurezza richieste da tali infrastrutture.
Il tempo di retention delle informazioni/dati sottoposti a backup deve essere coerente con quanto stabilito a livello
contrattuale nonché con le previsioni discendenti dalla normativa applicabile, tenuto conto anche della tipologia di
dati archiviati.
Deve essere predisposta una procedura specifica per il backup che tenga conto delle procedure di restore e non
tralasci le procedure di test per il restore, assicurando che queste ultime vengano testate con regolarità.
5.7.
Gestione degli eventi anomali e degli incidenti rilevanti ai fini della sicurezza
Al fine di preservare il proprio patrimonio informativo e garantire il rispetto delle previsioni di natura normativa il
Gruppo deve essere in grado di prevenire i potenziali eventi anomali/incidenti o di farvi fronte nel momento in cui si
manifestano assicurando interventi in tempi limitati e che minimizzino gli impatti sull’attività di business.
Pagina 11 di 13
TECHNICAL STANDARD:
Emissione: DPSS
Versione 2.0
Data: Febbraio 2016
Per tale scopo è importante definire i requisiti cui attenersi e descrivere le attività cui dare luogo per prevenire
potenziali eventi anomali/incidenti e per garantire la loro analisi e risoluzione nel momento in cui dovessero
concretizzarsi.
Le attività devono essere descritte e raggruppate in:
•
attività preventive: prevenzione ed individuazione di potenziali eventi anomali/incidenti;
•
attività reattive: attuazione di attività al verificarsi di un evento anomalo/incidente;
•
attività investigative: analisi degli eventi registrati per l’identificazione delle responsabilità, per la
valutazione dei danni subiti e per il miglioramento delle attività preventive e reattive;
•
formazione: sensibilizzazione del personale sui casi standard in cui può prefigurarsi un evento
anomalo/incidente e sulle modalità più comuni di gestione dello stesso.
Dovrà inoltre essere data particolare enfasi ai piani di escalation al fine di mantenere gli interventi risolutivi
costantemente in linea rispetto alle reali necessità.
5.8.
Monitoraggio, tracciamento e verifiche tecniche
5.8.1.
Monitoraggio
Scopo delle attività di monitoraggio è quello di rilevare situazioni critiche, accessi non autorizzati e di ottenere
indicazioni sull’utilizzo dei sistemi, nel rispetto delle regole stabilite dal Gruppo o previste dalla normativa applicabile.
In particolare il monitoraggio deve:

garantire adeguati livelli di confidenzialità e integrità per i dati raccolti e non alterare i livelli di disponibilità dei
sistemi controllati;

essere integrato con un sistema strutturato di parametri ed alert per la rilevazione, segnalazione e gestione
degli incidenti.

consentire proiezioni sull’evoluzione futura dei requisiti di capacità dei sistemi (Capacity Management) a
garanzia del fatto che le performance richieste siano effettivamente soddisfatte.
5.8.2.
Tracciamento
L’attività di tracciamento riguarda la registrazione e archiviazione di tutte le informazioni che permettono di
identificare e descrivere in modo dettagliato l’evento oggetto del monitoraggio.
Il risultato delle attività di tracciamento deve contenere un set di informazioni coerente e consistente con le finalità
dell’analisi e si dovrà tener conto di specifici requisiti durante le fasi di:
•
Raccolta: la raccolta dei dati del tracciamento deve essere centralizzata e devono essere predisposti
meccanismi che garantiscano la sincronizzazione temporale delle sorgenti di log.
•
Conservazione: la conservazione deve essere adeguatamente protetta da cancellazioni volontarie o
involontarie, per un periodo di tempo prestabilito, nel rispetto delle leggi e delle normative vigenti;
Pagina 12 di 13
TECHNICAL STANDARD:
Emissione: DPSS
•
Versione 2.0
Data: Febbraio 2016
Archiviazione: l’archiviazione dei log deve avvenire secondo quanto richiesto dalla normativa vigente ed in
ogni caso adottando soluzioni di sicurezza adeguate alla criticità del dato, per esempio dati sensibili o
giudiziari.
Le attività di tracciamento sono soggette e regolate dalla normativa vigente.
5.8.3.
Verifiche Tecniche
Le verifiche tecniche riguardano attività di controllo sull’implementazione dell’efficacia ed efficienza delle misure di
sicurezza dei sistemi del Gruppo.
Allo scopo di non causare perdite di dati o misconfigurazioni, durante le attività di verifica l’accesso ai sistemi deve
avvenire in sola lettura (eccezioni a queste prescrizioni devono essere espressamente autorizzate) ed in caso di
utilizzo di prodotti specifici, questi devono avere caratteristiche di elevata affidabilità previa verifica in ambente di test
o in laboratorio.
Tali attività devono essere condotte senza l’interruzione dei sistemi: nei soli casi in cui l’interruzione dei sistemi
risultasse necessaria questa deve essere concordata e pianificata.
Infine deve essere garantita la riservatezza e la confidenzialità delle informazioni relative alle verifiche e ai sistemi
analizzati; a tal riguardo, le aziende esterne coinvolte nelle verifiche tecniche devono sottoscrivere accordi di
riservatezza aziendali (NDA).
5.9.
Gestione della Compliance
Il rispetto delle normative vigenti è di notevole importanza dal momento che queste possono influenzare le scelte
tecnologiche e di processo effettuate nel Gruppo. La corretta applicazione della normativa rappresenta inoltre
l’opportunità di tutelare il Gruppo da eventuali compromissioni del patrimonio informativo o da accuse che ricadono
nelle seguenti norme di legge:
•
L. 547 del 23/12/1993 “Norme Codice Penale e Procedura Penale in tema di Criminalità Informatica”;
•
L. 633 del 22/04/1941 “Protezione del Diritto d’Autore e di altri diritti connessi al suo esercizio”;
•
D.Lgs 196 del 30/06/2003 “Codice in Materia di Protezione dei Dati Personali”;
•
Provvedimento del Garante Privacy del 27/11/2008: “Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;
•
Provvedimento del Garante Privacy dell’8/04/2010: “Provvedimento in materia di videosorveglianza”;
•
D.Lgs 231 del 08/06/2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle
società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29
settembre 2000, n. 300”.
Pagina 13 di 13

Politica Generale per la Sicurezza Informatica

Transcript

Documenti analoghi

CONDIZIONI DI VENDITA

Procedura per la gestione del ciclo di vita dei

Editoriale Sometti

Milano, 15 settembre 2016 Alle strutture sindacali locali A

Ecco la nuova Provincia di Catania

Editoriale

CV CGiua - Fondazione Sistema Toscana

Scarica il documento

BAZZANI Curriculum - Assonautica Romana