Misure di sicurezza tecniche organizzative
La tabella seguente sintetizza le misure di sicurezza tecniche organizzative, raggruppate per ambito di competenza, ad oggi implementate da Archiva S.r.l. nell’erogazione dei propri servizi di business.
L’elenco è da intendersi come estratto minimo e non esaustivo del più ampio set di controlli di sicurezza implementati anche a fronte delle certificazioni ISO conseguite.
Ambito applicativo
Controllo | Titolo | Descrizione | Misure di sicurezza implementate |
---|---|---|---|
A.9.4.1 | Limitazione dell’accesso alle informazioni. | L'accesso a informazioni e funzioni di sistemi applicativi deve essere limitato secondo le politiche di controllo degli accessi. | Gestione dei diritti d'accesso tramite profili. Applicazione del principio del privilegio minimo di accesso agli utenti. |
A.9.4.2 | Procedure di log-on sicure. | Quando richiesto dalle politiche di controllo degli accessi, l’accesso a sistemi e applicazioni deve essere controllato da procedure di log-on sicure. | Limitazione del tempo di validità delle sessioni. Limitazione della dimensione e del numero delle sessioni. Meccanismi di rinforzo della gestione delle sessioni utente. |
A.9.4.3 | Sistema di gestione delle password. | I sistemi di gestione delle password devono essere interattivi e devono assicurare password di qualità. | Assenza di dati riservati nei log applicativi. |
A.10.1.1 | Politica sull’uso dei controlli crittografici. | Deve essere sviluppata e attuata una politica sull'uso dei controlli crittografici per la protezione delle informazioni. | Protezione crittografica dei dati trasmessi. |
A.12.4.1 | Raccolta di log degliti. | La registrazione dei log degliti, delle attività degli utenti, delle eccezioni, dei malfunzionamenti e degliti relativi alla sicurezza delle informazioni deve essere effettuata, mantenuta e riesaminata periodicamente. | Tracciatura degliti applicativi rilevanti. |
A.12.4.2 | Protezione delle informazioni di log. | Le strutture per la raccolta dei log e le informazioni di log devono essere protette da manomissioni e accessi non autorizzati. | Protezione dei log dalle modifiche degli utenti dell'applicazione. |
A.14.1.1 | Analisi e specifica dei requisiti per la sicurezza delle informazioni. | I requisiti relativi alla sicurezza delle informazioni devono essere inclusi all’interno dei requisiti per i nuovi sistemi informativi o per l’aggiornamento di quelli esistenti. | Nessuna elaborazione di dati critici sul client. |
A.14.2.1 | Politica per lo sviluppo sicuro. | Le regole per lo sviluppo del software e dei sistemi devono essere stabilite ed applicate agli sviluppi all’interno dell’organizzazione. | Gestione di tutti gli errori applicativi. Riesame della sicurezza del codice. |
A.14.2.5 | Principi per l’ingegnerizzazione sicura dei sistemi. | I principi per l’ingegnerizzazione di sistemi sicuri devono essere stabiliti, documentati, manutenuti e applicati ad ogni iniziativa di implementazione di un sistema informativo. | Analisi e validazione delle operazioni sui dati prima della loro esecuzione. Filtro delle informazioni in ingresso all'applicazione. Filtro delle informazioni in uscita dall'applicazione. Tutte le validazioni effettuate sul client sono ripetute lato server. Blocco delle richieste non corrispondenti ad un uso autorizzato del sistema. |
A.14.2.9 | Test di accettazione dei sistemi. | Devono essere stabiliti dei programmi di test e di accettazione ed i criteri ad essi relativi per i nuovi sistemi informativi, per gli aggiornamenti e per le nuove versioni. | Realizzazione di test di carico e di robustezza dell'applicazione. |
A.14.3.1 | Protezione dei dati di test. | I dati di test devono essere scelti con attenzione, protetti e tenuti sotto controllo. | Limitazione/Uso controllato dei dati di produzione per finalità di sviluppo o test. |
A.18.2.3 | Verifica tecnica della conformità. | I sistemi informativi devono essere regolarmente riesaminati per conformità con le politiche e con le norme per la sicurezza dell'organizzazione. | Effettuazione di vulnerability assessment o penetration test applicativi. |
Gestione delle informazioni
Controllo | Titolo | Descrizione | Misure di sicurezza implementate |
---|---|---|---|
A.05.1 | Politiche per la sicurezza delle informazioni. | Un insieme di politiche per la sicurezza delle informazioni deve essere definito, approvato dalla direzione, pubblicato e comunicato al personale e alle parti esterne pertinenti. | Redazione e mantenimento di politiche e procedure a supporto della sicurezza delle informazioni come da certificazione ISO/IEC 27001 e AgID. |
A.05.2 | Riesame delle politiche per la sicurezza delle informazioni. | Le politiche per la sicurezza delle informazioni devono essere riesaminate ad intervalli pianificati o nel caso in cui si siano verificati cambiamenti significativi, al fine di garantirne sempre l’idoneità, l’adeguatezza e l’efficacia. | Redazione e mantenimento di politiche e procedure a supporto della sicurezza delle informazioni come da certificazione ISO/IEC 27001 e AgID. |
A.6.1.2 | Separazione dei compiti. | I compiti e le aree di responsabilità in conflitto tra loro devono essere separati per ridurre le possibilità di uso improprio, modifica non autorizzata o non intenzionale degli asset dell’organizzazione. | Delega del controllo delle operazioni critiche ad almeno due persone diverse. |
A.11.2.7 | Dismissione sicura o riutilizzo delle apparecchiature. | Tutte le apparecchiature contenenti supporti di memorizzazione devono essere controllate per assicurare che ogni dato critico od il software concesso in licenza sia rimosso o sovrascritto in modo sicuro prima della dismissione o del riutilizzo. | Cancellazione sicura dei dati su supporti che devono essere riutilizzati o soggetti a manutenzione. |
A.15.1.2 | Indirizzare la sicurezza all’interno degli accordi con i fornitori. | Tutti i requisiti relativi alla sicurezza delle informazioni devono essere stabiliti e concordati con ciascun fornitore che potrebbe avere accesso, elaborare, archiviare, trasmettere o fornire componenti dell'infrastruttura IT per le informazioni dell'organizzazione. | Piano di continuità operativa del fornitore per i servizi a supporto del processo di conservazione. Clausole contrattuali relative alla riservatezza e alla conformità dei dati condivisi con i fornitori rispetto ai requisiti di legge applicabili; Nessuna fase del processo di conservazione è data in outsourcing. |
Piattaforma tecnologica
Controllo | Titolo | Descrizione | Misure di sicurezza implementate |
---|---|---|---|
A.9.2.4 | Gestione delle informazioni segrete di autenticazione degli utenti. | L'assegnazione di informazioni segrete di autenticazione deve essere controllata attraverso un processo di gestione formale. | |
A.9.4.1 | Limitazione dell’accesso alle informazioni. | L'accesso a informazioni e funzioni di sistemi applicativi deve essere limitato secondo le politiche di controllo degli accessi. | |
A.9.4.2 | Procedure di log-on sicure. | Quando richiesto dalle politiche di controllo degli accessi, l’accesso a sistemi e applicazioni deve essere controllato da procedure di log-on sicure. | |
A.9.4.3 | Sistema di gestione delle password. | I sistemi di gestione delle password devono essere interattivi e devono assicurare password di qualità. | |
A.10.1.2 | Gestione delle chiavi. | Deve essere sviluppata e attuata una politica sull'uso, sulla protezione e sulla durata delle chiavi crittografiche attraverso il loro intero ciclo di vita. | |
A.12.2.1 | Controlli contro il malware. | Devono essere attuati controlli di individuazione, di prevenzione e di ripristino relativamente al malware, congiuntamente ad un’appropriata consapevolezza degli utenti. | |
A.12.3.1 | Backup delle informazioni. | Devono essere effettuate copie di backup delle informazioni, del software e delle immagini dei sistemi e quindi sottoposte a test periodici secondo una politica di backup concordata. | |
A.12.4.1 | Raccolta di log degliti. | La registrazione dei log degliti, delle attività degli utenti, delle eccezioni, dei malfunzionamenti e degliti relativi alla sicurezza delle informazioni deve essere effettuata, mantenuta e riesaminata periodicamente. | |
A.12.4.2 | Protezione delle informazioni di log. | Le strutture per la raccolta dei log e le informazioni di log devono essere protette da manomissioni e accessi non autorizzati. | |
A.12.6.2 | Limitazioni all’installazione del software. | Devono essere stabilite e attuate regole per il governo dell’installazione del software da parte degli utenti. | |
A.13.1.2 | Sicurezza dei servizi di rete. | I meccanismi di sicurezza, i livelli di servizio e i requisiti di gestione di tutti i servizi di rete devono essere identificati e inclusi negli accordi sui livelli di servizio relativi alla rete, indipendentemente dal fatto che tali servizi siano forniti dall’interno o siano affidati all’esterno. | |
A.13.1.3 | Segregazione nelle reti. | Nelle reti si devono segregare gruppi di servizi, di utenti e di sistemi informativi. | |
A.13.2.1 | Politiche e procedure per il trasferimento delle informazioni. | Devono esistere politiche, procedure e controlli formali a protezione del trasferimento delle informazioni attraverso l’uso di tutte le tipologie di strutture di comunicazione. | |
A.14.1.3 | Protezione delle transazioni dei servizi applicativi. | Le informazioni coinvolte nelle transazioni dei servizi applicativi devono essere protette al fine di prevenire trasmissioni incomplete, errori di instradamento, alterazione non autorizzata di messaggi, divulgazione non autorizzata, duplicazione non autorizzata di messaggi o attacchi di tipo "replay". | |
A.14.2.7 | Sviluppo affidato all’esterno. | L’organizzazione deve supervisionare e monitorare l’attività di sviluppo dei sistemi affidata all’esterno. | |
A.15.1.2 | Indirizzare la sicurezza all’interno degli accordi con i fornitori. | Tutti i requisiti relativi alla sicurezza delle informazioni devono essere stabiliti e concordati con ciascun fornitore che potrebbe avere accesso, elaborare, archiviare, trasmettere o fornire componenti dell'infrastruttura IT per le informazioni dell'organizzazione. | |
A.16.1.6 | Apprendimento dagli incidenti relativi alla sicurezza delle informazioni. | La conoscenza acquisita dall’analisi e dalla soluzione degli incidenti relativi alla sicurezza delle informazioni deve essere utilizzata per ridurre la verosimiglianza o l’impatto degli incidenti futuri. | |
A.17.2.1 | Disponibilità delle strutture per l’elaborazione delle informazioni. | Le strutture per l’elaborazione delle informazioni devono essere realizzate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità. | |
A.18.2.3 | Verifica tecnica della conformità. | I sistemi informativi devono essere regolarmente riesaminati per conformità con le politiche e con le norme per la sicurezza dell'organizzazione. |