Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Titolo
Title
Sommario
La Norma fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni,
comprensivi di linee guida per la loro implementazione. Questo documento è elaborato per essere
utilizzato dalle organizzazioni:
a) nell’ambito di un sistema di gestione per la sicurezza delle informazioni (SGSI) basato sulla
UNI CEI EN ISO/IEC 27001;
b) per l’implementazione di controlli per la sicurezza delle informazioni basati sulle best practice
riconosciute a livello internazionale;
c) per lo sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche per
l’organizzazione.
La Norma in oggetto sostituisce completamente la Norma CEI UNI EN ISO/IEC 27002:2017-06, che
rimane applicabile fino al 31-05-2023.
La presente Norma riporta la traduzione completa della EN ISO/IEC 27002; la versione inglese è riportata
nel fascicolo 19238E di febbraio 2023.
Nazionali
Legenda (IDT) - La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT)
INFORMAZIONI EDITORIALI
ICS 35.030;
2
INDICE
PREMESSA CEN 1
PREMESSA ISO 2
INTRODUZIONE 3
0.1 Scenario e contesto ................................................................................................................................. 3
0.2 Requisiti di sicurezza delle informazioni ...................................................................................... 3
0.3 Controlli .......................................................................................................................................................... 4
0.4 Determinazione dei controlli................................................................................................................ 4
0.5 Sviluppo di linee guida specifiche per l'organizzazione ....................................................... 4
0.6 Considerazioni sul ciclo di vita ........................................................................................................... 5
0.7 Norme correlate ......................................................................................................................................... 5
2 RIFERIMENTI NORMATIVI 5
5 CONTROLLI ORGANIZZATIVI 12
5.1 Politiche per la sicurezza delle informazioni ........................................................................... 12
prospetto 1 Differenze tra la politica per la sicurezza delle informazioni e le politiche specifiche......... 14
5.2 Ruoli e responsabilità per la sicurezza delle informazioni ............................................... 14
5.3 Separazione dei compiti ..................................................................................................................... 15
5.4 Responsabilità della direzione ........................................................................................................ 16
5.5 Contatti con le autorità ........................................................................................................................ 17
5.6 Contatti con gruppi specialistici ...................................................................................................... 17
5.7 Threat intelligence ................................................................................................................................. 18
5.8 Sicurezza delle informazioni nella gestione dei progetti ................................................... 19
5.9 Inventario delle informazioni e degli altri asset relativi ...................................................... 21
5.10 Uso accettabile delle informazioni e degli altri asset relativi .......................................... 23
5.11 Restituzione degli asset ..................................................................................................................... 24
5.12 Classificazione delle informazioni ................................................................................................. 24
5.13 Etichettatura delle informazioni ...................................................................................................... 26
5.14 Trasferimento delle informazioni ................................................................................................... 27
5.15 Controllo degli accessi ........................................................................................................................ 29
5.16 Gestione delle identità......................................................................................................................... 31
5.17 Informazioni di autenticazione ........................................................................................................ 32
5.18 Diritti d’accesso ....................................................................................................................................... 34
5.19 Sicurezza delle informazioni nelle relazioni con i fornitori ............................................... 36
5.20 Sicurezza delle informazioni negli accordi con i fornitori.................................................. 38
5.21 Gestione della sicurezza delle informazioni nella filiera di fornitura per l’ICT ....... 40
5.22 Monitoraggio, riesame e gestione dei cambiamenti dei servizi dei fornitori........... 41
5.23 Sicurezza delle informazioni per l'utilizzo di servizi cloud................................................ 43
7 CONTROLLI FISICI 69
7.1 Perimetro di sicurezza fisica ............................................................................................................ 69
7.2 Controlli di accesso fisico .................................................................................................................. 70
7.3 Messa in sicurezza di uffici, locali e strutture ......................................................................... 71
7.4 Monitoraggio della sicurezza fisica .............................................................................................. 72
7.5 Protezione dalle minacce fisiche e ambientali ....................................................................... 73
7.6 Lavoro in aree sicure ........................................................................................................................... 74
7.7 Schermo e scrivania puliti ................................................................................................................. 75
7.8 Disposizione delle apparecchiature e loro protezione ....................................................... 76
7.9 Sicurezza degli asset all’esterno delle sedi............................................................................. 76
7.10 Supporti di memorizzazione ............................................................................................................ 78
7.11 Infrastrutture di supporto ................................................................................................................... 79
7.12 Sicurezza dei cablaggi ........................................................................................................................ 80
7.13 Manutenzione delle apparecchiature.......................................................................................... 81
7.14 Dismissione sicura o riutilizzo delle apparecchiature ........................................................ 82
8 CONTROLLI TECNOLOGICI 83
8.1 Endpoint degli utenti ............................................................................................................................ 83
8.2 Diritti di accesso privilegiato ............................................................................................................ 85
8.3 Limitazione degli accessi alle informazioni.............................................................................. 86
8.4 Accesso al codice sorgente ............................................................................................................. 88
8.5 Autenticazione sicura .......................................................................................................................... 89
8.6 Gestione della capacità ...................................................................................................................... 90
8.7 Protezione dal malware...................................................................................................................... 92
8.8 Gestione delle vulnerabilità tecniche .......................................................................................... 93
8.9 Gestione delle configurazioni .......................................................................................................... 96
BIBLIOGRAFIA 147
NOTIFICA DI ADOZIONE
Il testo della ISO/IEC 27002:2022 è stato approvato dal CEN-CENELEC come EN
ISO/IEC 27002:2022 senza alcuna modifica.
0.3 Controlli
Un controllo è definito come una misura che modifica o mantiene il rischio. Alcuni dei
controlli in questo documento sono controlli che modificano il rischio, mentre altri
mantengono il rischio. Una politica per la sicurezza delle informazioni, per esempio, può
solo mantenere il rischio, mentre il rispetto della politica per la sicurezza delle informazioni
può modificare il rischio. Inoltre, alcuni controlli descrivono la stessa misura generica in
diversi contesti di rischio. Questo documento fornisce una miscela generica di controlli
per la sicurezza delle informazioni organizzativi, relativi alle persone, fisici e tecnologici
derivati dalle best practice riconosciute a livello internazionale.
2 RIFERIMENTI NORMATIVI
In questo documento non ci sono riferimenti normativi.
3.1.1 controllo degli accessi: Mezzi per assicurare che l'accesso fisico e logico agli asset (3.1.2)
sia autorizzato e limitato in base ai requisiti di business e relativi alla sicurezza delle
informazioni.
3.1.3 attacco: Tentativo non autorizzato, riuscito o fallito, di distruggere, modificare, disabilitare,
accedere a un asset (3.1.2) o qualsiasi tentativo di esporre, rubare o fare uso non
autorizzato di un asset (3.1.2).
3.1.4 autenticazione: Fornitura di garanzia che una dichiarata caratteristica di un'entità (3.1.11)
è corretta.
3.1.5 autenticità: Proprietà per cui un'entità (3.1.11) è ciò che afferma di essere.
3.1.7 informazioni riservate: Informazioni che non si intende rendere disponibili o divulgate a
soggetti, entità (3.1.11) o processi (3.1.27).
3.1.9 interruzione: Incidente, atteso o inatteso, che causa una deviazione negativa, non
pianificata dall'erogazione prevista dei prodotti e servizi secondo gli obiettivi di
un'organizzazione.
[FONTE: ISO 22301:2019, 3.10]
3.1.13 violazione relativa alla sicurezza delle informazioni: Compromissione della sicurezza delle
informazioni che porta alla distruzione, alla perdita, alla modifica, alla divulgazione o
all'accesso indesiderato a informazioni protette trasmesse, memorizzate o altrimenti
elaborate.
3.1.14 evento relativo alla sicurezza delle informazioni: Accadimento che indica una possibile
violazione relativa alla sicurezza delle informazioni (3.1.13) o il malfunzionamento di uno
o più controlli (3.1.8).
[FONTE: ISO/IEC 27035-1:2016, 3.3, modificato - "violazione della sicurezza delle
informazioni" è stata sostituita con "violazione relativa alla sicurezza delle informazioni".]
3.1.15 incidente relativo alla sicurezza delle informazioni: Uno o più eventi relativi alla sicurezza
delle informazioni (3.1.14) correlati e identificati che possono danneggiare gli asset (3.1.2)
di un'organizzazione o comprometterne l’operatività.
[FONTE: ISO/IEC 27035-1:2016, 3.4]
3.1.16 gestione degli incidenti relativi alla sicurezza delle informazioni: Esercizio di un approccio
coerente ed efficace alla gestione degli incidenti relativi alla sicurezza delle informazioni
(3.1.15).
[FONTE: ISO/IEC 27035-1:2016, 3.5]
3.1.17 sistema informativo: Insieme di applicazioni, servizi, asset (3.1.2) informatici o altri
componenti che trattano informazioni.
[FONTE: ISO/IEC 27000:2018, 3.35]
3.1.18 stakeholder: Persona o organizzazione che può influenzare, essere influenzata da, o
percepire se stessa come influenzata da una decisione o un’attività.
[FONTE: ISO/IEC 27000:2018, 3.37]
3.1.19 non ripudio: Capacità di provare il verificarsi di un dichiarato evento o azione e delle sue
entità (3.1.11) originanti.
3.1.23 responsabile del trattamento dei dati personali: Stakeholder relativo alla privacy che tratta
dati personali (3.1.21) per conto e in conformità alle istruzioni di un titolare.
[FONTE: ISO/IEC 29100:2011, 2.12]
3.1.24 politica: Intenti e indirizzi di un’organizzazione espressi in modo formale dalla sua alta
direzione.
[FONTE: ISO/IEC 27000:2018, 3.53]
3.1.25 valutazione d'impatto sulla privacy; PIA: Processo (3.1.27) complessivo di identificazione,
analisi, valutazione, consultazione, comunicazione e pianificazione del trattamento dei
potenziali impatti sulla privacy in relazione al trattamento di dati personali (3.1.21),
inquadrato nel più ampio quadro di riferimento per la gestione del rischio di
un'organizzazione.
[FONTE: ISO/IEC 29134:2017, 3.7, modificato - Nota alla voce rimossa.]
3.1.27 processo: Insieme di attività correlate o interagenti che utilizzano o trasformano degli input
per fornire un risultato.
[FONTE: ISO 9000:2015, 3.4.1, modificato: note alla voce rimosse]
3.1.28 registrazione: Informazioni create, ricevute e mantenute come prove e come asset (3.1.2)
da un'organizzazione o persona, nel rispetto di obblighi legali o in transazioni di business.
Nota Gli obblighi legali in questo contesto includono tutti i requisiti legali, statutari, regolamentari e contrattuali.
[FONTE: ISO 15489-1:2016, 3.14, modificato - Aggiunta la Nota.]
3.1.29 obiettivo relativo al punto di recupero; RPO: Momento nel tempo rispetto al quale i dati sono
da ripristinare dopo che si è verificata un'interruzione (3.1.9).
[FONTE: ISO/IEC 27031:2011, 3.12, modificato - "devono" sostituito da "sono da
ripristinare".]
3.1.30 obiettivo relativo al tempo di recupero; RTO: Periodo di tempo entro il quale i livelli minimi
di servizio e/o i prodotti e i sistemi, le applicazioni o le funzioni di supporto sono da
ripristinare dopo che si è verificata un'interruzione (3.1.9).
[FONTE: ISO/IEC 27031:2011, 3.13, modificato - "devono" sostituito da "sono da
ripristinare".]
3.1.34 minaccia: Potenziale causa di un incidente indesiderato, che può provocare un danno a
un sistema o a un’organizzazione.
[FONTE: ISO/IEC 27000: 2018, 3.74]
3.1.35 politica specifica [per argomento]: Intenti e indirizzi per un argomento o tema specifico,
come formalmente espresso dal livello manageriale appropriato.
Nota 1 Le politiche specifiche possono esprimere formalmente regole (3.1.32) o standard organizzativi.
Nota 2 Alcune organizzazioni utilizzano altri termini per le politiche specifiche.
Nota 3 Le politiche specifiche a cui si fa riferimento in questo documento sono collegate alla sicurezza delle
informazioni.
ESEMPIO
Politica specifica per il controllo degli accessi (3.1.1), politica specifica per schermo e
scrivania puliti.
3.1.37 endpoint dell'utente: Endpoint (3.1.10) utilizzato dagli utenti per accedere ai servizi di
elaborazione delle informazioni.
Nota Un endpoint dell'utente può fare riferimento a un computer desktop, laptop, smartphone, tablet, thin client, ecc.
3.1.38 vulnerabilità: Punto di debolezza di un asset (3.1.2) o di un controllo (3.1.8) che può
essere sfruttato da una o più minacce (3.1.34).
[FONTE: ISO/IEC 27000: 2018, 3.77]
3.2 Abbreviazioni
ABAC controllo degli accessi basato sugli attributi
ACL lista per il controllo degli accessi
BIA analisi di impatto operativo
BYOD uso di dispositivi personali
CAPTCHAtest di Turing automatizzato e pubblico per discernere computer e umani
CPU unità centrale di elaborazione
DAC controllo degli accessi discrezionale
DNS domain name system
GPS sistema di posizionamento globale
IAM gestione dell'identità e degli accessi
ICT tecnologie dell'informazione e della comunicazione
ID identificatore
IDE ambiente di sviluppo integrato
IDS intrusion detection system
IoT Internet delle cose
IP internet protocol
IPS sistema di prevenzione delle intrusioni
IT tecnologie dell'informazione
4.1 Punti
Questo documento è strutturato come segue:
a) Controlli organizzativi (Punto 5)
b) Controlli sulle persone (Punto 6)
c) Controlli fisici (Punto 7)
d) Controlli tecnologici (Punto 8)
Sono presenti 2 appendici informative:
- Appendice A - Utilizzo degli attributi
- Appendice B - Corrispondenza con ISO/IEC 27002:2013
L'Appendice A spiega come un'organizzazione può utilizzare gli attributi (vedere 4.2) per
creare le proprie viste basate sugli attributi di controllo definiti in questo documento o di
propria creazione.
L'Appendice B mostra la corrispondenza tra i controlli in questa edizione di
ISO/IEC 27002 e la precedente edizione 2013.
5 CONTROLLI ORGANIZZATIVI
Controllo
La politica per la sicurezza delle informazioni e le politiche specifiche dovrebbero essere
definite, approvate dalla direzione, pubblicate, comunicate e accettate dal personale
pertinente e dalle parti interessate pertinenti e riesaminate a intervalli pianificati e quando
si verificano cambiamenti significativi.
Finalità
Assicurare la continua idoneità, adeguatezza, efficacia degli indirizzi della direzione e il
supporto per la sicurezza delle informazioni in accordo con i requisiti di business, cogenti,
regolamentari e contrattuali.
Guida
Al livello più alto, le organizzazioni dovrebbero definire una "politica per la sicurezza delle
informazioni" che è approvata dall’alta direzione e che stabilisce l'approccio
dell'organizzazione alla gestione della sicurezza delle informazioni.
La politica per la sicurezza delle informazioni dovrebbe prendere in considerazione i
requisiti derivati da:
a) strategia e requisiti di business;
b) regolamenti, norme di legge e contratti;
c) i rischi e le minacce relative alla sicurezza delle informazioni attuali e previste.
La politica per la sicurezza delle informazioni dovrebbe contenere affermazioni
riguardanti:
a) la definizione di sicurezza delle informazioni;
Altre informazioni
Le politiche specifiche possono variare tra le organizzazioni.
Controllo
I ruoli e le responsabilità per la sicurezza delle informazioni dovrebbero essere definiti e
assegnati in base alle esigenze dell'organizzazione.
Finalità
Stabilire una struttura per l’implementazione, l’esercizio e la gestione della sicurezza delle
informazioni all'interno dell'organizzazione che sia definita, approvata e compresa.
Guida
L'assegnazione dei ruoli e delle responsabilità per la sicurezza delle informazioni
dovrebbe essere effettuata in accordo con la politica per la sicurezza delle informazioni e
le politiche specifiche (vedere 5.1). L'organizzazione dovrebbe definire e gestire le
responsabilità per:
a) la protezione delle informazioni e degli altri asset relativi;
b) svolgere specifici processi di sicurezza delle informazioni;
c) le attività di gestione del rischio relativo alla sicurezza delle informazioni e in
particolare l’accettazione dei rischi residui (per esempio ai responsabili dei rischi);
d) tutto il personale che utilizza le informazioni di un'organizzazione e gli asset relativi.
Tali responsabilità dovrebbero essere integrate, ove necessario, con linee guida più
dettagliate per specifici siti e strutture di elaborazione delle informazioni. Gli individui a cui
sono state assegnate responsabilità per la sicurezza delle informazioni potrebbero
assegnare compiti per la sicurezza ad altri. Tuttavia, tali individui rimangono responsabili
e dovrebbero verificare che tutti i compiti assegnati siano stati eseguiti correttamente.
Controllo
I compiti e le aree di responsabilità in conflitto dovrebbero essere separati.
Finalità
Ridurre il rischio di frode, errore e aggiramento dei controlli di sicurezza delle
informazioni.
Guida
La separazione dei compiti e delle aree di responsabilità mira a suddividere, tra individui
diversi, compiti in conflitto al fine di prevenire che un individuo svolga da solo compiti
potenzialmente in conflitto.
L'organizzazione dovrebbe determinare quali compiti e aree di responsabilità dovrebbero
essere separate. Di seguito sono riportati esempi di attività che possono richiedere la
separazione:
a) avviare, approvare ed eseguire un cambiamento;
b) richiedere, approvare e implementare i diritti di accesso;
c) progettare, implementare e riesaminare il codice;
d) sviluppare software e amministrare i sistemi di produzione;
e) utilizzare e amministrare le applicazioni;
f) utilizzare gli applicativi e amministrare i database;
g) progettare, verificare e assicurare i controlli di sicurezza delle informazioni.
Dovrebbe essere considerata la possibilità di collusione nella progettazione dei controlli di
separazione. Le piccole organizzazioni possono trovare la separazione dei compiti difficile
da soddisfare, ma il principio dovrebbe essere applicato per quanto possibile e praticabile.
Quando è difficile separare, dovrebbero essere presi in considerazione altri controlli,
come il monitoraggio delle attività, gli audit trail e la supervisione di un responsabile.
Controllo
La direzione dovrebbe richiedere a tutto il personale di applicare la sicurezza delle
informazioni in conformità con la politica per la sicurezza delle informazioni, le politiche
specifiche e le procedure dell’organizzazione in vigore.
Finalità
Assicurare che la direzione comprenda il proprio ruolo nella sicurezza delle informazioni
e intraprenda azioni volte ad assicurare che tutto il personale sia consapevole e adempia
alle proprie responsabilità in materia di sicurezza delle informazioni.
Guida
La direzione dovrebbe dimostrare il supporto alla politica per la sicurezza delle
informazioni, alle politiche specifiche, alle procedure e ai controlli di sicurezza delle
informazioni.
Le responsabilità della direzione dovrebbero includere l’assicurazione che il personale:
a) sia adeguatamente informato sul proprio ruolo e sulle proprie responsabilità in
materia di sicurezza delle informazioni prima di ottenere l'accesso alle informazioni
dell'organizzazione e agli altri asset relativi;
b) sia dotato di linee guida che esprimono le aspettative di sicurezza delle informazioni
per il proprio ruolo all'interno dell'organizzazione;
c) sia incaricato di adempiere alla politica per la sicurezza delle informazioni e alle
politiche specifiche dell'organizzazione;
d) raggiunga un livello di consapevolezza della sicurezza delle informazioni pertinente al
proprio ruolo e alle proprie responsabilità all'interno dell'organizzazione (vedere 6.3);
e) si conformi ai termini e alle condizioni di impiego, contratto o accordo, inclusa la
politica per la sicurezza delle informazioni dell'organizzazione e ai metodi di lavoro
adeguati;
f) continui ad avere adeguate competenze e qualifiche in materia di sicurezza delle
informazioni attraverso la formazione professionale continua;
g) ove possibile, sia dotato di un canale riservato per la segnalazione di violazioni delle
politiche per la sicurezza delle informazioni, delle politiche specifiche o delle procedure per
la sicurezza delle informazioni (“whistleblowing”). Ciò può consentire segnalazioni
anonime o avere disposizioni per assicurare che la conoscenza dell'identità del segnalante
sia nota solo a coloro che dovrebbero occuparsi di tali segnalazioni;
h) sia dotato di risorse e tempi adeguati per l’implementazione dei processi e dei
controlli dell'organizzazione relativi alla sicurezza.
Altre informazioni
Nessun'altra informazione.
Controllo
L'organizzazione dovrebbe stabilire e mantenere i contatti con le autorità competenti.
Finalità
Assicurare che ci sia un adeguato flusso di informazioni rispetto alla sicurezza delle
informazioni tra l'organizzazione e le pertinenti autorità legali, regolamentari e di
supervisione.
Guida
L'organizzazione dovrebbe specificare quando e da chi dovrebbero essere contattate le
autorità (per esempio forze dell'ordine, organismi di regolamentazione, autorità di
supervisione) e come segnalare tempestivamente gli incidenti relativi alla sicurezza delle
informazioni identificati.
I contatti con le autorità dovrebbero essere utilizzati anche per facilitare la comprensione
delle aspettative attuali e future di tali autorità (per esempio le normative applicabili
relative alla sicurezza delle informazioni).
Altre informazioni
Le organizzazioni sotto attacco possono richiedere alle autorità di agire contro la fonte
dell'attacco.
Il mantenimento di tali contatti può essere un requisito per supportare la gestione degli
incidenti relativi alla sicurezza delle informazioni (vedere da 5.24 a 5.28) o i processi di
pianificazione della contingenza e di continuità operativa (vedere 5.29 e 5.30). I contatti
con gli organismi di regolamentazione sono utili anche per anticipare e prepararsi ai
cambiamenti imminenti nelle leggi o nei regolamenti pertinenti che interessano
l'organizzazione. I contatti con altre autorità includono servizi pubblici, servizi di
emergenza, fornitori di elettricità e salute e sicurezza [per esempio vigili del fuoco (in
relazione alla continuità operativa), fornitori di telecomunicazioni (in relazione
all'instradamento e alla disponibilità delle linee) e fornitori di acqua (in relazione agli
impianti di raffreddamento delle apparecchiature)].
Controllo
L'organizzazione dovrebbe stabilire e mantenere contatti con gruppi specialistici o altri
forum di sicurezza specializzati e associazioni professionali.
Finalità
Assicurare che avvenga un flusso di informazioni adeguato rispetto alla sicurezza delle
informazioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di Capacità operative Domini di sicurezza
informazioni cybersecurity
#Preventive #Confidentiality #Identify #Threat_and_vulnerability_management #Defence
#Detective #Integrity #Detect #Resilience
#Corrective #Availability #Respond
Controllo
Le informazioni relative alle minacce alla sicurezza delle informazioni dovrebbero essere
raccolte e analizzate per produrre threat intelligence.
Finalità
Fornire consapevolezza delle minacce all'organizzazione in modo che possano essere
intraprese le azioni di mitigazione appropriate.
Guida
Le informazioni sulle minacce esistenti o emergenti vengono raccolte e analizzate al fine
di:
a) facilitare azioni basate su informazioni per prevenire che le minacce causino danni
all'organizzazione;
b) ridurre l'impatto di tali minacce.
La threat intelligence può essere suddivisa in tre livelli, che dovrebbero essere tutti
considerati:
a) threat intelligence strategica: scambio di informazioni di alto livello sul panorama
delle minacce in evoluzione (per esempio tipi di attaccanti o tipi di attacchi);
b) threat intelligence tattica: informazioni sulle metodologie, sugli strumenti e sulle
tecnologie dell'attaccante coinvolte;
c) threat intelligence operativa: dettagli su attacchi specifici, inclusi indicatori tecnici.
La threat intelligence dovrebbe essere:
a) pertinente (ossia relativo alla tutela dell'organizzazione);
b) approfondita (ossia fornisca all'organizzazione una comprensione accurata e
dettagliata del panorama delle minacce);
c) contestuale, per fornire consapevolezza situazionale (vale a dire aggiungere
contesto alle informazioni in base all'ora degli eventi, al luogo in cui si verificano, alle
esperienze precedenti e alla diffusione in organizzazioni simili);
Controllo
La sicurezza delle informazioni dovrebbe essere integrata nella gestione dei progetti.
Finalità
Assicurare che i rischi relativi alla sicurezza delle informazioni e ai progetti e ai loro
risultati finali siano affrontati in modo efficace nella gestione dei progetti durante l'intero
ciclo di vita dei progetti.
Controllo
Dovrebbe essere sviluppato e mantenuto un inventario delle informazioni e degli altri
asset relativi, compresi i responsabili.
Finalità
Identificare le informazioni dell'organizzazione e gli altri asset relativi al fine di preservare
la sicurezza delle informazioni e di assegnarne la corretta appartenenza.
Guida
Inventario
L'organizzazione dovrebbe identificare le proprie informazioni e gli altri asset relativi e
determinarne l'importanza in termini di sicurezza delle informazioni. La documentazione
dovrebbe essere conservata, a seconda dei casi, in inventari a ciò dedicati o già esistenti.
L'inventario delle informazioni e degli altri asset relativi dovrebbe essere accurato,
aggiornato, coerente e allineato con gli altri inventari. Le soluzioni per assicurare
l'accuratezza di un inventario delle informazioni e degli altri asset relativi includono:
a) condurre riesami periodici delle informazioni identificate e degli altri asset relativi
rispetto all'inventario degli asset;
b) imporre un aggiornamento automatico dell'inventario durante il processo di
implementazione, cambiamento o rimozione di un asset.
A seconda dei casi, l'ubicazione di un asset dovrebbe essere inclusa nell'inventario.
Non è necessario che l'inventario sia un unico elenco di informazioni e di altri asset
relativi. Considerando che l'inventario dovrebbe essere mantenuto dalle funzioni
competenti, può essere visto come un insieme di inventari dinamici, come inventari per
asset informativi, hardware, software, macchine virtuali (VM), strutture, personale,
competenze, capacità e registrazioni.
Ciascun asset dovrebbe essere classificato conformemente alla classificazione delle
informazioni (vedere 5.12) associate a tale asset.
Controllo
Le regole per l'uso accettabile e le procedure per il trattamento delle informazioni e degli
altri asset relativi dovrebbero essere identificate, documentate e attuate.
Finalità
Assicurare che siano adeguatamente protette, utilizzate e trattate le informazioni e gli altri
asset relativi.
Guida
Il personale e gli utenti esterni che utilizzano o hanno accesso alle informazioni
dell'organizzazione e agli altri asset relativi dovrebbero essere informati in merito ai
requisiti di sicurezza delle informazioni al fine di proteggere e trattare le informazioni
dell'organizzazione e gli altri asset relativi. Essi dovrebbero essere responsabili dell’uso
che fanno di qualsiasi struttura di elaborazione delle informazioni.
L'organizzazione dovrebbe stabilire una politica specifica per l'uso accettabile delle
informazioni e degli altri asset relativi e comunicarla a chiunque utilizza o tratta
informazioni e gli altri asset relativi. La politica specifica per l'uso accettabile dovrebbe
fornire indicazioni chiare su come ci si aspetta che le persone utilizzino le informazioni e
gli altri asset relativi. Tale politica specifica dovrebbe indicare:
a) i comportamenti attesi e quelli inaccettabili degli individui dal punto di vista della
sicurezza delle informazioni;
b) l’uso consentito e quello proibito delle informazioni e degli altri asset relativi;
c) il monitoraggio delle attività svolte dall'organizzazione.
Dovrebbero essere elaborate procedure per l’utilizzo accettabile relativamente all'intero
ciclo di vita delle informazioni in conformità con la loro classificazione (vedere 5.12) e con
i rischi determinati. Dovrebbero essere considerati i seguenti elementi:
a) limitazioni di accesso a supporto dei requisiti di protezione per ciascun livello di
classificazione;
b) mantenimento di un registro degli utenti autorizzati alle informazioni e agli altri asset
relativi;
c) protezione delle copie temporanee o permanenti delle informazioni a un livello
coerente con la protezione delle informazioni originali;
d) conservazione degli asset relativi alle informazioni secondo le specifiche dei
produttori (vedere 7.8);
e) contrassegnare in modo chiaro, per richiamare l'attenzione del destinatario
autorizzato, tutte le copie dei supporti di memorizzazione (elettronici o fisici) (vedere
7.10);
f) autorizzazione alla dismissione delle informazioni e degli altri asset relativi, con i
metodi supportati (vedere 8.10).
Altre informazioni
È possibile che gli asset interessati non appartengano direttamente all'organizzazione,
come i servizi cloud pubblici. L'uso di tali asset di terze parti e di qualsiasi asset
dell'organizzazione associato a tali asset esterni (per esempio informazioni, software)
dovrebbe essere identificato come applicabile e controllato, per esempio, attraverso
accordi con i fornitori di servizi cloud. Occorre prestare attenzione anche quando si
utilizza un ambiente di lavoro collaborativo.
Controllo
Il personale e le altre parti interessate, a seconda dei casi, dovrebbero restituire tutti gli
asset dell'organizzazione in loro possesso in caso di cambiamento o cessazione del
rapporto di lavoro, del contratto o dell’accordo.
Finalità
Proteggere le risorse dell'organizzazione come parte del processo di cambiamento o
cessazione del rapporto di lavoro, del contratto o dell’accordo.
Guida
Dovrebbe essere formalizzato il processo di cambiamento o cessazione affinché includa
la restituzione di tutti gli asset fisici ed elettronici precedentemente assegnati che siano di
proprietà all'organizzazione o affidati ad essa.
Nel caso in cui il personale e le altre parti interessate acquistino apparecchiature
dell'organizzazione o utilizzino apparecchiature di proprietà personale, dovrebbero
essere seguite procedure per assicurare che tutte le informazioni pertinenti siano
tracciate e trasferite all'organizzazione e cancellate in modo sicuro dalle apparecchiature
(vedere 7.14).
Nel caso in cui il personale e le altre parti interessate siano a conoscenza di elementi
importanti per le attività in corso, tali informazioni dovrebbero essere documentate e
trasferite all'organizzazione.
L'organizzazione dovrebbe impedire la copia non autorizzata di informazioni rilevanti (per
esempio proprietà intellettuale) da parte del personale durante il periodo di preavviso.
L'organizzazione dovrebbe identificare e documentare chiaramente tutte le informazioni e
gli altri asset relativi che dovrebbero essere restituiti che possono includere:
a) endpoint degli utenti;
b) dispositivi di memorizzazione portatili;
c) apparecchiature specialistiche;
d) hardware di autenticazione (per esempio chiavi meccaniche, token fisici e smart
card) per sistemi informativi, siti e archivi fisici;
e) copie fisiche delle informazioni.
Altre informazioni
Può essere difficile la restituzione delle informazioni presenti su asset che non sono di
proprietà dell'organizzazione. In tali casi, si dovrebbe limitare l'uso delle informazioni
utilizzando altri controlli per la sicurezza delle informazioni come la gestione dei diritti di
accesso (5.18) o l'uso della crittografia (8.24).
Controllo
Un insieme appropriato di procedure per l'etichettatura delle informazioni dovrebbe
essere sviluppato e implementato in conformità con lo schema di classificazione delle
informazioni adottato dall'organizzazione.
Finalità
Facilitare la comunicazione della classificazione delle informazioni e supportare
l'automazione dell'elaborazione e della gestione delle informazioni.
Guida
Le procedure per l'etichettatura delle informazioni dovrebbero riguardare le informazioni e
gli altri asset relativi in tutti i formati. L'etichettatura dovrebbe riflettere lo schema di
classificazione stabilito al paragrafo 5.12. Le etichette dovrebbero essere facilmente
riconoscibili. Le procedure dovrebbero fornire indicazioni su dove e come vengono poste
le etichette in considerazione di come si accede alle informazioni o si trattano gli asset a
seconda dei tipi di supporti di memorizzazione. Le procedure possono definire:
a) i casi in cui l'etichettatura è omessa (per esempio etichettatura di informazioni non
riservate per ridurre i carichi di lavoro);
b) come etichettare le informazioni inviate o memorizzate su dispositivi elettronici o
fisici, o qualsiasi altro formato;
c) come gestire i casi in cui l'etichettatura non è possibile (per esempio a causa di
restrizioni tecniche).
Esempi di tecniche di etichettatura includono:
a) etichette fisiche;
b) intestazioni e piè di pagina;
c) metadati;
d) filigrana;
e) timbri.
Controllo
Dovrebbero essere in vigore regole, procedure o accordi per il trasferimento delle
informazioni per tutte le tipologie di strutture di trasferimento all'interno
dell'organizzazione e tra l'organizzazione e altre parti.
Finalità
Mantenere la sicurezza delle informazioni trasferite all'interno di un'organizzazione e con
qualsiasi parte esterna interessata.
Guida
Generale
L'organizzazione dovrebbe stabilire e comunicare una politica specifica per il
trasferimento delle informazioni a tutte le parti interessate pertinenti. Regole, procedure e
accordi per proteggere le informazioni in transito dovrebbero tener conto della
classificazione delle informazioni coinvolte. Quando le informazioni vengono trasferite tra
l'organizzazione e terze parti, dovrebbero essere stabiliti e mantenuti accordi per il
trasferimento (compresa l'autenticazione del destinatario) per proteggere le informazioni
in transito in qualsiasi forma (vedere 5.10).
Controllo
L'intero ciclo di vita delle identità dovrebbe essere gestito.
Finalità
Permettere l'identificazione univoca delle persone e dei sistemi che accedono alle
informazioni dell'organizzazione e agli altri asset relativi e consentire l'appropriata
assegnazione dei diritti di accesso.
Controllo
L'assegnazione e la gestione delle informazioni di autenticazione dovrebbero essere
controllate da un processo gestionale, che preveda di informare il personale in merito al
trattamento appropriato delle informazioni di autenticazione.
Finalità
Assicurare la corretta autenticazione dell'entità e prevenire errori dei processi di
autenticazione.
Controllo
I diritti di accesso alle informazioni e agli altri asset relativi dovrebbero essere forniti,
riesaminati, modificati e rimossi in accordo con la politica specifica e le regole per il
controllo degli accessi dell'organizzazione.
Finalità
Assicurare che l'accesso alle informazioni e agli altri asset relativi sia definito e
autorizzato in accordo con i requisiti di business.
Guida
Assegnazione e revoca dei diritti di accesso
Il processo di assegnazione e revoca dei diritti di accesso fisico e logico concessi
all'identità autenticata di un'entità dovrebbe includere:
a) ottenere l'autorizzazione dal responsabile delle informazioni e degli altri asset relativi per
l'utilizzo delle informazioni e degli altri asset relativi (vedere 5.9). Può essere opportuna
anche un'approvazione separata, da parte dei manager, per i diritti di accesso;
b) considerare i requisiti di business e la politica specifica dell'organizzazione e le
regole per il controllo degli accessi;
Controllo
Dovrebbero essere stabiliti e implementati processi e procedure per gestite i rischi della
sicurezza delle informazioni associati all’utilizzo di prodotti o servizi del fornitore.
Finalità
Mantenere nelle relazioni con i fornitori un livello concordato di sicurezza delle
informazioni.
Guida
L'organizzazione dovrebbe stabilire e comunicare una politica specifica per le relazioni
con i fornitori a tutte le parti interessate pertinenti.
L'organizzazione dovrebbe identificare e implementare processi e procedure per
affrontare i rischi relativi alla sicurezza associati all'uso di prodotti e servizi forniti da
fornitori. Ciò dovrebbe valere anche per l'utilizzo da parte dell'organizzazione delle risorse
di fornitori di servizi cloud. Tali processi e procedure dovrebbero includere quelli che
devono essere implementati dall'organizzazione, nonché quelli che l'organizzazione
richiede al fornitore di implementare per iniziare a usare i prodotti o i servizi di un fornitore
o per cessare di usare i prodotti e servizi di un fornitore, come:
a) identificare e documentare le tipologie di fornitori (per esempio servizi ICT, logistica,
infrastrutture, servizi economici, componenti di infrastrutture ICT) che possono
influire sulla riservatezza, sull'integrità e sulla disponibilità delle informazioni
dell'organizzazione;
b) stabilire come valutare e selezionare i fornitori in base alla sensibilità delle
informazioni, dei prodotti e dei servizi (per esempio con analisi di mercato, referenze
dei clienti, riesami di documenti, valutazioni in loco, certificazioni);
c) valutare e selezionare i prodotti o servizi del fornitore che dispongono di adeguati
controlli per la sicurezza delle informazioni e riesaminarli; in particolare,
l'accuratezza e la completezza dei controlli attuati dal fornitore che assicurano
l'integrità delle informazioni del fornitore e dell'elaborazione delle informazioni e
quindi la sicurezza delle informazioni dell'organizzazione;
d) definire le informazioni dell'organizzazione, i servizi ICT e l'infrastruttura fisica a cui i
fornitori possono accedere e che possono monitorare, controllare o utilizzare;
e) definire le tipologie dei componenti dell'infrastruttura ICT e dei servizi forniti dai
fornitori che possono influire sulla riservatezza, sull’integrità e sulla disponibilità
delle informazioni dell'organizzazione;
f) valutare e gestire i rischi relativi alla sicurezza delle informazioni connessi a:
1) l'uso da parte dei fornitori delle informazioni e degli altri asset relativi
dell'organizzazione, inclusi i rischi derivanti da eventuale personale
malintenzionato del fornitore;
2) malfunzionamenti o vulnerabilità dei prodotti (inclusi componenti e
sottocomponenti software utilizzati in tali prodotti) o servizi forniti dai fornitori;
Controllo
I requisiti di sicurezza delle informazioni pertinenti dovrebbero essere stabiliti e concordati
con ciascun fornitore in base al tipo di rapporto con il fornitore.
Finalità
Nelle relazioni con i fornitori mantenere un livello concordato di sicurezza delle
informazioni.
Guida
Gli accordi con i fornitori dovrebbero essere stabiliti e documentati per assicurare che vi
sia una chiara comprensione tra l'organizzazione e il fornitore in merito agli obblighi di
entrambe le parti relativi al soddisfacimento dei pertinenti requisiti di sicurezza delle
informazioni.
I seguenti termini possono essere presi in considerazione per includerli negli accordi al
fine di soddisfare i requisiti di sicurezza delle informazioni individuati:
a) descrizione delle informazioni da fornire o alle quali accedere e le loro modalità di
fornitura o di accesso;
b) classificazione delle informazioni secondo lo schema di classificazione
dell'organizzazione (vedere 5.10, 5.12, 5.13);
c) mappatura tra lo schema di classificazione dell'organizzazione e lo schema di
classificazione del fornitore;
d) requisiti legali, statutari, regolamentari e contrattuali, che includono la protezione dei
dati, il trattamento dei dati personali, i diritti di proprietà intellettuale e il diritto
d'autore, e una descrizione di come sarà assicurato il loro rispetto;
e) obbligo di ciascuna parte contrattuale di attuare un insieme concordato di controlli,
inclusi il controllo degli accessi, il riesame delle prestazioni, il monitoraggio, la
rendicontazione e l'audit, e gli obblighi del fornitore di conformarsi ai requisiti di
sicurezza delle informazioni dell'organizzazione;
f) regole per l'uso accettabile delle informazioni e degli altri asset relativi, compreso
l'uso inaccettabile se necessario;
g) procedure o condizioni per l'autorizzazione e la revoca delle autorizzazioni all'utilizzo
delle informazioni dell'organizzazione e degli altri asset relativi da parte del
personale del fornitore (per esempio attraverso un elenco del personale del fornitore
esplicitamente autorizzato all'uso delle informazioni dell'organizzazione e degli altri
asset relativi);
h) requisiti di sicurezza delle informazioni riguardanti l'infrastruttura ICT del fornitore; in
particolare, requisiti minimi di sicurezza delle informazioni per ogni tipo di
informazione e tipo di accesso che servano come base per accordi individuali con i
fornitori in base alle esigenze di business e ai criteri di rischio dell'organizzazione;
i) risarcimenti e rimedi al mancato rispetto dei requisiti da parte del fornitore;
Controllo
Dovrebbero essere definiti e attuati processi e procedure per gestire i rischi relativi alla
sicurezza delle informazioni associati alla filiera di fornitura di prodotti e servizi ICT.
Finalità
Mantenere, nelle relazioni con i fornitori, un livello concordato di sicurezza delle
informazioni.
Guida
In aggiunta ai requisiti generali di sicurezza delle informazioni nei rapporti con i fornitori, i
seguenti argomenti dovrebbero essere considerati per affrontare la sicurezza delle
informazioni nell'ambito della sicurezza nella filiera di fornitura per l’ICT:
a) definire i requisiti di sicurezza delle informazioni da applicare all'acquisizione di
prodotti o servizi ICT;
b) richiedere che i fornitori di servizi ICT propaghino i requisiti di sicurezza
dell'organizzazione lungo tutta la filiera di fornitura se subappaltano parti dei servizi
ICT forniti all'organizzazione;
c) richiedere che i fornitori di prodotti ICT propaghino pratiche di sicurezza adeguate
lungo tutta la filiera di fornitura se tali prodotti includono componenti acquistati o
acquisiti da altri fornitori o altri enti (per esempio sviluppatori software in sub-appalto
e fornitori di componenti hardware);
d) richiedere ai fornitori di prodotti ICT di fornire informazioni che descrivano i
componenti software utilizzati nei prodotti;
e) richiedere ai fornitori di prodotti ICT di fornire informazioni che descrivano le funzioni
di sicurezza attuate dal loro prodotto e la configurazione richiesta per il suo
funzionamento sicuro;
f) attuare un processo di monitoraggio e metodi accettabili per validare il fatto che i
prodotti e servizi ICT forniti sono conformi ai requisiti di sicurezza dichiarati. Esempi
di tali metodi di riesame dei fornitori possono includere penetration test e prove o
validazioni di attestazioni di terze parti per l’esercizio della sicurezza delle
informazioni del fornitore;
g) attuare un processo per identificare e documentare i componenti, di prodotti o
servizi, critici per mantenere la funzionalità e che pertanto richiedono maggiore
attenzione, esame e ulteriore verifica di controllo quando realizzati al di fuori
dell'organizzazione, soprattutto se il fornitore esternalizza componenti di prodotti o
servizi ad altri fornitori;
h) ottenere l'assicurazione che i componenti critici e la loro origine possano essere
rintracciati lungo tutta la filiera di fornitura;
i) ottenere l'assicurazione che i prodotti ICT consegnati funzionino come previsto
senza alcuna caratteristica imprevista o indesiderata;
j) attuare processi per assicurare che i componenti dei fornitori siano autentici e
inalterati rispetto alle loro specifiche. Esempi di misure includono etichette contro la
manomissione, verifiche attraverso hash crittografici o firme digitali. Il monitoraggio
di prestazioni al di fuori delle specifiche può essere un indicatore di manomissioni o
contraffazioni. La prevenzione e il rilevamento delle manomissioni dovrebbero
essere attuati in più fasi del ciclo di vita dello sviluppo del sistema, compresa la
progettazione, lo sviluppo, l'integrazione, l’esercizio e la manutenzione;
5.22 Monitoraggio, riesame e gestione dei cambiamenti dei servizi dei fornitori
Controllo
L'organizzazione dovrebbe monitorare, riesaminare, valutare e gestire regolarmente i
cambiamenti nelle pratiche di sicurezza delle informazioni dei fornitori e nell'erogazione
dei servizi.
Controllo
I processi per l'acquisizione, l'utilizzo, la gestione e l'uscita dai servizi cloud dovrebbero
essere stabiliti in conformità con i requisiti di sicurezza delle informazioni
dell'organizzazione.
Finalità
Specificare e gestire la sicurezza delle informazioni per l'utilizzo dei servizi cloud.
Guida
L'organizzazione dovrebbe stabilire e comunicare una politica specifica per l'uso dei
servizi cloud a tutte le parti interessate pertinenti.
L'organizzazione dovrebbe definire e comunicare come intende gestire i rischi relativi alla
sicurezza delle informazioni e associati all'uso dei servizi cloud. Può essere
un'estensione o una parte dell'approccio già esistente e relativo al modo in cui
un'organizzazione gestisce i servizi forniti da soggetti esterni (vedere 5.21 e 5.22).
L'uso dei servizi cloud può comportare una responsabilità condivisa per la sicurezza delle
informazioni e uno sforzo collaborativo tra il fornitore di servizi cloud e l'organizzazione
che agisce come cliente del servizio cloud. È essenziale che le responsabilità sia del
fornitore di servizi cloud sia dell'organizzazione, che agisce in qualità di cliente del
servizio cloud, siano definite e attuate in modo appropriato.
L'organizzazione dovrebbe definire:
a) tutti i requisiti di sicurezza delle informazioni pertinenti e associati all'utilizzo dei
servizi cloud;
b) i criteri di selezione dei servizi cloud e l’ambito di utilizzo dei servizi cloud;
c) i ruoli e le responsabilità relativi all'utilizzo e alla gestione dei servizi cloud;
d) quali controlli per la sicurezza delle informazioni sono gestiti dal fornitore di servizi
cloud e quali sono gestiti dall'organizzazione in qualità di cliente dei servizi cloud;
e) come ottenere e utilizzare le funzionalità di sicurezza delle informazioni messe a
disposizione dal fornitore di servizi cloud;
f) come ottenere assicurazioni sui controlli per la sicurezza delle informazioni attuati
dai fornitori di servizi cloud;
g) come gestire i controlli, le interfacce e i cambiamenti ai servizi quando
un'organizzazione utilizza più servizi cloud, in particolare da diversi fornitori di servizi
cloud;
h) procedure per la gestione degli incidenti relativi alla sicurezza delle informazioni che
si verificano in relazione all'utilizzo dei servizi cloud;
i) il proprio approccio per monitorare, riesaminare e valutare l'uso nel tempo dei servizi
cloud per gestire i rischi relativi alla sicurezza delle informazioni;
5.24 Pianificazione e preparazione per la gestione degli incidenti relativi alla sicurezza delle
informazioni
Controllo
L'organizzazione dovrebbe pianificare e prepararsi per la gestione degli incidenti relativi
alla sicurezza delle informazioni definendo, stabilendo e comunicando processi, ruoli e
responsabilità di gestione degli incidenti relativi alla sicurezza delle informazioni.
Finalità
Assicurare una risposta rapida, efficace, coerente e ordinata agli incidenti relativi alla
sicurezza delle informazioni, inclusa la comunicazione sugli eventi relativi alla sicurezza
delle informazioni.
Guida
Ruoli e responsabilità
L'organizzazione dovrebbe stabilire adeguati processi di gestione degli incidenti relativi
alla sicurezza delle informazioni. I ruoli e le responsabilità per svolgere le procedure di
gestione degli incidenti dovrebbero essere determinati e comunicati in modo efficace alle
parti interessate interne ed esterne pertinenti.
Occorre considerare quanto segue:
a) stabilire un metodo comune per segnalare gli eventi relativi alla sicurezza delle
informazioni, includendo il punto di contatto (vedere 6.8);
b) stabilire un processo di gestione degli incidenti per fornire all'organizzazione la
capacità di gestire gli incidenti relativi alla sicurezza delle informazioni, includendo
l’amministrazione, la documentazione, il rilevamento, il triage, la definizione delle
priorità, l’analisi, la comunicazione e il coordinamento delle parti interessate;
c) stabilire un processo di risposta agli incidenti per fornire all'organizzazione la
capacità di valutare, rispondere e imparare dagli incidenti relativi alla sicurezza delle
informazioni;
d) consentire solo al personale competente di gestire le questioni relative agli incidenti
relativi alla sicurezza delle informazioni all'interno dell'organizzazione. Tale
personale dovrebbe essere dotato di documentazione procedurale e formazione
periodica;
e) stabilire un processo per identificare la formazione richiesta, le certificazioni e lo
sviluppo professionale continuo per il personale di risposta agli incidenti.
Controllo
L'organizzazione dovrebbe valutare gli eventi relativi alla sicurezza delle informazioni e
decidere se devono essere classificati come incidenti relativi alla sicurezza delle
informazioni.
Finalità
Assicurare una categorizzazione e una prioritizzazione efficaci degli eventi relativi alla
sicurezza delle informazioni.
Guida
Dovrebbe essere concordato uno schema di categorizzazione e prioritizzazione degli
incidenti relativi alla sicurezza delle informazioni per l'identificazione delle conseguenze e
della priorità di un incidente. Lo schema dovrebbe includere i criteri per classificare gli
eventi come incidenti relativi alla sicurezza delle informazioni. Il punto di contatto
dovrebbe valutare ogni evento relativo alla sicurezza delle informazioni utilizzando lo
schema concordato.
Il personale responsabile del coordinamento e della risposta agli incidenti relativi alla
sicurezza delle informazioni dovrebbe eseguire la valutazione e prendere una decisione
sugli eventi relativi alla sicurezza delle informazioni.
I risultati della valutazione e della decisione dovrebbero essere registrati in dettaglio a
scopo di riferimento e verifica futuri.
Altre informazioni
ISO/IEC 27035 fornisce ulteriori indicazioni sulla gestione degli incidenti.
Controllo
Gli incidenti relativi alla sicurezza delle informazioni dovrebbero essere risolti secondo le
procedure documentate.
Finalità
Assicurare una risposta efficiente ed efficace agli incidenti relativi alla sicurezza delle
informazioni.
Guida
L'organizzazione dovrebbe stabilire e comunicare procedure sulla risposta agli incidenti
relativi alla sicurezza delle informazioni a tutte le parti interessate pertinenti.
Gli incidenti relativi alla sicurezza delle informazioni dovrebbero essere affrontati da un
gruppo designato con la competenza richiesta (vedere 5.24).
La risposta dovrebbe includere quanto segue:
a) contenere, se le conseguenze dell'incidente possono propagarsi, i sistemi
interessati dall'incidente;
Controllo
Le conoscenze acquisite dagli incidenti relativi alla sicurezza delle informazioni
dovrebbero essere utilizzate per rafforzare e migliorare i controlli di sicurezza delle
informazioni.
Finalità
Ridurre la probabilità o le conseguenze di incidenti futuri.
Guida
L'organizzazione dovrebbe stabilire procedure per quantificare e monitorare i tipi, i volumi
e i costi degli incidenti relativi alla sicurezza delle informazioni.
Le informazioni ottenute dalla valutazione degli incidenti relativi alla sicurezza delle
informazioni dovrebbero essere utilizzate per:
a) migliorare il piano di gestione degli incidenti, compresi gli scenari e le procedure
degli incidenti (vedere 5.24);
b) identificare gli incidenti ricorrenti o gravi e le loro cause per aggiornare la valutazione
del rischio relativo alla sicurezza delle informazioni dell'organizzazione e
determinare e attuare i controlli aggiuntivi necessari per ridurre la probabilità o le
conseguenze di futuri incidenti simili. I meccanismi per abilitare ciò includono la
raccolta, la quantificazione e il monitoraggio delle informazioni sui tipi di incidenti, i
volumi e i costi;
c) migliorare la formazione sulla consapevolezza degli utenti (vedere 6.3) fornendo
esempi di cosa può accadere, come rispondere a tali incidenti e come evitarli in
futuro.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Corrective #Confidentiality #Detect #Information_security_event_management #Defence
#Integrity #Respond
#Availability
Controllo
L'organizzazione dovrebbe stabilire e attuare procedure per l'identificazione, la raccolta,
l'acquisizione e la conservazione delle prove relative agli eventi relativi alla sicurezza delle
informazioni.
Finalità
Assicurare una gestione coerente ed efficace delle prove relative agli incidenti relativi alla
sicurezza delle informazioni ai fini di azioni disciplinari e legali.
Guida
Dovrebbero essere sviluppate e seguite procedure interne per quando si trattano prove
relative a eventi relativi alla sicurezza delle informazioni ai fini di azioni disciplinari e legali.
I requisiti delle diverse giurisdizioni dovrebbero essere considerati per massimizzare le
possibilità di ammissione delle prove nelle giurisdizioni pertinenti.
In generale, queste procedure per la gestione delle prove dovrebbero fornire istruzioni per
l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove in base ai diversi
tipi di supporti di memorizzazione, dispositivi e stato dei dispositivi (ossia accesi o spenti).
Le prove in genere dovrebbero essere raccolte in modo ammissibile nei tribunali nazionali
competenti o in un altro foro disciplinare. Dovrebbe essere possibile dimostrare che:
a) le registrazioni sono complete e non sono state in alcun modo manomesse;
b) le copie delle prove elettroniche sono verosimilmente identiche agli originali;
c) qualsiasi sistema informativo da cui sono state raccolte le prove funzionava
correttamente al momento della registrazione delle prove.
Ove disponibile, si dovrebbe richiedere la certificazione del personale o altri mezzi
pertinenti per dimostrare la qualificazione del personale e degli strumenti, in modo da
rafforzare il valore delle prove conservate.
Le prove digitali possono trascendere i confini organizzativi o giurisdizionali. In tali casi,
dovrebbe essere assicurato che l'organizzazione sia autorizzata a raccogliere le
informazioni richieste come prove digitali.
Altre informazioni
Quando un evento relativo alla sicurezza delle informazioni viene rilevato per la prima
volta, non è sempre ovvio se l'evento si tradurrà in un'azione legale. Pertanto esiste il
pericolo che le prove necessarie vengano distrutte intenzionalmente o accidentalmente
prima che si realizzi la gravità dell'incidente. È consigliabile coinvolgere una consulenza
legale o le forze dell'ordine all'inizio di qualsiasi azione legale contemplata e chiedere
consiglio in merito alle prove richieste.
ISO/IEC 27037 fornisce definizioni e linee guida per l'identificazione, la raccolta,
l'acquisizione e la conservazione delle prove digitali.
La serie ISO/IEC 27050 si occupa della ricerca di prove elettroniche, che implica
l'elaborazione di informazioni memorizzate elettronicamente come prove.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Continuity #Protection
#Corrective #Integrity #Respond #Resilience
#Availability
Controllo
L'organizzazione dovrebbe pianificare come mantenere la sicurezza delle informazioni a
un livello appropriato durante le interruzioni.
Finalità
Proteggere le informazioni e gli altri asset relativi durante le interruzioni.
Guida
L'organizzazione dovrebbe determinare i propri requisiti per adattare i controlli per la
sicurezza delle informazioni durante le interruzioni. I requisiti di sicurezza delle
informazioni dovrebbero essere inclusi nei processi di gestione della continuità operativa.
Dovrebbero essere sviluppati, attuati, testati, riesaminati e valutati piani per mantenere o
ripristinare la sicurezza delle informazioni dei processi di business critici a seguito di
interruzioni o guasti. La sicurezza delle informazioni dovrebbe essere ripristinata al livello
richiesto e nei tempi richiesti.
L'organizzazione dovrebbe attuare e mantenere:
a) controlli per la sicurezza delle informazioni, sistemi e strumenti a supporto dei piani
di continuità operativa e di continuità ICT;
b) processi per mantenere i controlli per la sicurezza delle informazioni esistenti
durante le interruzioni;
c) controlli compensativi per i controlli per la sicurezza delle informazioni che non
possono essere mantenuti durante le interruzioni.
Altre informazioni
Nell'ambito della pianificazione della continuità operativa e della continuità ICT, può
essere necessario adeguare i requisiti di sicurezza delle informazioni a seconda del tipo
di interruzione, rispetto alle normali condizioni operative. Nell'ambito dell'analisi di impatto
operativo (BIA) e della valutazione del rischio svolta nell'ambito della gestione della
continuità operativa, le conseguenze della perdita di riservatezza e integrità delle
informazioni dovrebbero essere considerate e a tali conseguenze dovrebbero essere
assegnate priorità oltre alla necessità di mantenere la disponibilità.
Le informazioni sulla gestione della continuità operativa sono disponibili nelle ISO 22313
e ISO 22301. Un’ulteriore guida sull'analisi di impatto operativo (BIA) è disponibile nella
ISO/TS 22317.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Corrective #Availability #Respond #Continuity #Resilience
Controllo
La prontezza dell’ICT dovrebbe essere pianificata, attuata, mantenuta e testata sulla base
degli obiettivi di continuità operativa e dei requisiti di continuità dell’ICT.
Finalità
Assicurare la disponibilità delle informazioni dell'organizzazione e degli altri asset relativi
durante le interruzioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Legal_and_compliance #Governance_and_Ecosystem
#Integrity #Protection
#Availability
Controllo
I requisiti legali, statutari, regolamentari e contrattuali relativi alla sicurezza delle
informazioni e l'approccio dell'organizzazione per soddisfare tali requisiti dovrebbero
essere identificati, documentati e tenuti aggiornati.
Finalità
Assicurare il rispetto dei requisiti legali, statutari, regolamentari e contrattuali relativi alla
sicurezza delle informazioni.
Guida
Generale
I requisiti esterni, inclusi i requisiti legali, statutari, regolamentari o contrattuali,
dovrebbero essere presi in considerazione quando:
a) si sviluppano politiche e procedure di sicurezza delle informazioni;
b) si progettano, attuano o cambiano i controlli di sicurezza delle informazioni;
c) si classificano le informazioni e gli altri asset relativi nell'ambito del processo di
impostazione dei requisiti di sicurezza delle informazioni per esigenze interne o per
accordi con i fornitori;
d) si eseguono valutazioni del rischio relativo alla sicurezza delle informazioni e si
determinano le attività di trattamento del rischio relativo alla sicurezza delle
informazioni;
e) si determinano i processi e i relativi ruoli e responsabilità in materia di sicurezza
delle informazioni;
f) si determinano i requisiti contrattuali con i fornitori relativi all'organizzazione e
all'ambito della fornitura di prodotti e servizi.
Norme di legge e regolamenti
L'organizzazione dovrebbe:
a) identificare tutte le norme di legge e i regolamenti relativi alla sicurezza delle
informazioni dell'organizzazione al fine di essere a conoscenza dei requisiti per il
proprio tipo di attività;
b) prendere in considerazione la conformità in tutti i Paesi interessati, se
l'organizzazione:
- svolge affari in altri Paesi;
- utilizza prodotti e servizi di altri Paesi in cui leggi e regolamenti possono avere
effetti sull'organizzazione;
- trasferisce informazioni oltre i confini giurisdizionali dove leggi e regolamenti
possono avere effetti sull'organizzazione;
c) riesaminare periodicamente le norme di legge e i regolamenti individuati al fine di
mantenersi aggiornata sui cambiamenti e identificare le nuove norme di legge;
d) definire e documentare i processi specifici e le responsabilità individuali per
soddisfare tali requisiti.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Legal_and_compliance #Governance_and_Ecosystem
#Integrity
#Availability
Controllo
L'organizzazione dovrebbe attuare procedure appropriate per proteggere i diritti di
proprietà intellettuale.
Finalità
Assicurare la conformità ai requisiti legali, statutari, regolamentari e contrattuali relativi ai
diritti di proprietà intellettuale e all'uso di prodotti proprietari.
Guida
Le seguenti linee guida dovrebbero essere prese in considerazione per proteggere
qualsiasi materiale che possa essere considerato proprietà intellettuale:
a) definire e comunicare una politica specifica per la tutela dei diritti di proprietà
intellettuale;
b) pubblicare procedure per il rispetto dei diritti di proprietà intellettuale e che
definiscano l'uso conforme di software e prodotti informatici;
c) acquisire software solo attraverso fonti conosciute e affidabili, per assicurare che il
diritto d'autore non venga violato;
d) mantenere adeguati registri degli asset e identificare tutti gli asset con requisiti di
tutela dei diritti di proprietà intellettuale;
e) mantenere prove ed evidenze della titolarità di licenze, manuali, ecc.;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Legal_and_compliance #Defence
#Integrity #Protect #Asset_management
#Availability #Information_protection
Controllo
Le registrazioni dovrebbero essere protette da perdita, distruzione, falsificazione, accesso
non autorizzato e rilascio non autorizzato.
Finalità
Assicurare la conformità ai requisiti legali, cogenti e contrattuali, nonché alle aspettative
della comunità o della società relative alla protezione e alla disponibilità delle
registrazioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Information_protection #Protection
#Integrity #Protect #Legal_and_compliance
#Availability
Controllo
L'organizzazione dovrebbe identificare e soddisfare i requisiti relativi alla tutela della
privacy e alla protezione dei dati personali secondo le leggi e i regolamenti applicabili e i
requisiti contrattuali.
Finalità
Assicurare il rispetto dei requisiti legali, statutari, regolamentari e contrattuali relativi agli
aspetti di sicurezza delle informazioni nell’ambito della protezione dei dati personali.
Guida
L'organizzazione dovrebbe stabilire e comunicare una politica specifica per la privacy e la
protezione dei dati personali a tutte le parti interessate pertinenti.
L'organizzazione dovrebbe sviluppare e attuare procedure per la tutela della privacy e la
protezione dei dati personali. Queste procedure dovrebbero essere comunicate a tutte le
parti interessate coinvolte nel trattamento dei dati personali.
Il rispetto di tali procedure e di tutte le norme di legge e i regolamenti pertinenti in materia
di tutela della privacy e protezione dei dati personali, richiede ruoli, responsabilità e
controlli adeguati. Spesso ciò si ottiene al meglio con la nomina di una persona
responsabile, come un responsabile della privacy, che dovrebbe guidare il personale, i
fornitori di servizi e le altre parti interessate in merito alle loro responsabilità individuali e
alle procedure specifiche che dovrebbero essere seguite.
Le responsabilità per il trattamento dei dati personali dovrebbero essere affrontate
tenendo conto delle norme di legge e dei regolamenti pertinenti.
Dovrebbero essere attuate adeguate misure tecniche e organizzative per proteggere i dati
personali.
Altre informazioni
Un certo numero di Paesi ha introdotto norme di legge che prevedono controlli sulla
raccolta, l'elaborazione, la trasmissione e l'eliminazione dei dati personali. A seconda
delle norme di legge nazionali pertinenti, tali controlli possono imporre obblighi a coloro
che raccolgono, elaborano e diffondono i dati personali e possono anche limitare il diritto
di trasferire i dati personali in altri Paesi.
La ISO/IEC 29100 fornisce un quadro di riferimento di alto livello per la protezione dei dati
personali nell'ambito dei sistemi informatici. Ulteriori informazioni sui sistemi di gestione
per la privacy sono disponibili nella ISO/IEC 27701. Informazioni specifiche sulla gestione
della privacy nei cloud pubblici che agiscono come responsabili del trattamento dei dati
personali sono disponibili nella ISO/IEC 27018.
La ISO/IEC 29134 fornisce linee guida per la valutazione dell'impatto privacy (PIA) e
fornisce un esempio di struttura e contenuto di un rapporto di valutazione di impatto
privacy. Rispetto alla ISO/IEC 27005, questa è incentrata sull'elaborazione dei dati
personali ed è rivolta alle organizzazioni che elaborano dati personali. Questa norma può
aiutare a identificare i rischi relativi alla privacy e le possibili mitigazioni per ridurre questi
rischi a livelli accettabili.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Information_security_assurance #Governance_and_Ecosystem
#Corrective #Integrity #Protect
#Availability
Controllo
L'approccio dell'organizzazione alla gestione della sicurezza delle informazioni e alla sua
attuazione, che include personale, processi e tecnologie, dovrebbe essere riesaminato in
modo indipendente a intervalli pianificati o quando si verificano cambiamenti significativi.
Finalità
Assicurare la continua idoneità, adeguatezza ed efficacia dell'approccio
dell'organizzazione alla gestione della sicurezza delle informazioni.
Guida
L'organizzazione dovrebbe disporre di processi per condurre riesami indipendenti.
La direzione dovrebbe pianificare e avviare riesami indipendenti periodici. I riesami
dovrebbero includere la valutazione delle opportunità di miglioramento e la necessità di
cambiamenti all'approccio alla sicurezza delle informazioni, compresa la politica per la
sicurezza delle informazioni, le politiche specifiche e altri controlli.
Tali riesami dovrebbero essere effettuati da soggetti indipendenti dall'area in esame (per
esempio la funzione di audit interno, un manager indipendente o un'organizzazione
esterna specializzata in tali riesami). Gli individui che effettuano questi riesami
dovrebbero avere la competenza appropriata. La persona che effettua i riesami non
dovrebbe essere nella linea di riporto per assicurare l'indipendenza necessaria per
effettuare una valutazione.
I risultati dei riesami indipendenti dovrebbero essere comunicati alla direzione che ha
avviato i riesami e, se del caso, all'alta direzione. Queste registrazioni dovrebbero essere
mantenute.
Se i riesami indipendenti identificano che l'approccio alla gestione della sicurezza delle
informazioni e l'attuazione da parte dell'organizzazione sono inadeguati [per esempio
obiettivi e requisiti documentati non sono soddisfatti o non sono conformi agli indirizzi per
la sicurezza delle informazioni dichiarata nella politica per la sicurezza delle informazioni
e nelle politiche specifiche (vedere 5.1)], la direzione dovrebbe avviare azioni correttive.
Oltre ai riesami indipendenti periodici, l'organizzazione dovrebbe prendere in
considerazione la possibilità di condurre riesami indipendenti quando:
a) leggi e regolamenti influiscono sui cambiamenti organizzativi;
b) si verificano incidenti significativi;
c) l'organizzazione avvia una nuova attività o cambia un'attività in corso;
d) l'organizzazione inizia a impiegare un nuovo prodotto o servizio, o cambia l'impiego
di un prodotto o di un servizio in uso;
e) l'organizzazione cambia in modo significativo i controlli e le procedure di sicurezza
delle informazioni.
Altre informazioni
La ISO/IEC 27007 e la ISO/IEC TS 27008 forniscono indicazioni per lo svolgimento di
riesami indipendenti.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Legal_and_compliance #Governance_and_Ecosystem
#Integrity #Protect #Information_security_assurance
#Availability
Controllo
La conformità alla politica per la sicurezza delle informazioni dell'organizzazione, alle
politiche specifiche, alle regole e agli standard dovrebbe essere riesaminata
regolarmente.
Finalità
Assicurare che la sicurezza delle informazioni sia attuata e condotta in conformità con la
politica per la sicurezza delle informazioni dell'organizzazione, con le politiche, le regole e
gli standard specifici.
Guida
I manager, i responsabili di servizi, prodotti o informazioni dovrebbero identificare come
riesaminare che i requisiti di sicurezza delle informazioni definiti nella politica per la
sicurezza per le informazioni, nelle politiche specifiche, nelle regole, negli standard e nelle
altre normative applicabili siano soddisfatte. Per un riesame periodico efficiente si
dovrebbero prendere in considerazione strumenti di misurazione e reporting automatici.
Se viene rilevata una non conformità a seguito del riesame, i gestori dovrebbero:
a) individuare le cause della non conformità;
b) valutare la necessità di azioni correttive per raggiungere la conformità;
c) attuare adeguate azioni correttive;
d) riesaminare le azioni correttive intraprese per verificarne l'efficacia e individuare
eventuali carenze o debolezze.
I risultati dei riesami e delle azioni correttive eseguite dai gestori, dai responsabili di
servizi, prodotti o informazioni dovrebbero essere registrati e tali registrazioni dovrebbero
essere mantenute. I gestori dovrebbero riferire i risultati alle persone che effettuano i
riesami indipendenti (vedere 5.35) quando si svolge un riesame indipendente nell'area di
loro responsabilità.
Le azioni correttive dovrebbero essere completate in modo tempestivo, a seconda del
rischio. Se non viene completato entro il prossimo riesame programmato, i progressi
dovrebbero almeno essere affrontati in quel riesame.
Altre informazioni
Il monitoraggio della operativo dell'uso del sistema è trattato in 8.15, 8.16, 8.17.
Tipo di controllo Proprietà di sicurezza Concetti di cybersecurity Capacità operative Domini di sicurezza
delle informazioni
#Preventive #Confidentiality #Protect #Asset_management #Governance_and_Ecosystem
#Corrective #Integrity #Recover #Physical_security #Protection
#Availability #System_and_network_security #Defence
#Application_security
#Secure_configuration
#Identity_and_access_management
#Threat_and_vulnerability_management
#Continuity
#Information_security_event_management
6.1 Screening
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Human_resource_security #Governance_and_Ecosystem
#Integrity
#Availability
Controllo
I controlli di verifica del background di tutti i candidati all’impiego dovrebbero essere
effettuati prima dell'ingresso nell'organizzazione e su base continuativa, tenendo conto
delle leggi, dei regolamenti e dell'etica applicabili ed essere proporzionati ai requisiti di
business, alla classificazione delle informazioni a cui si deve accedere e ai rischi percepiti.
Finalità
Assicurare che tutto il personale sia idoneo e adatto ai ruoli per i quali è considerato e
rimanga idoneo e adatto durante il proprio impiego.
Guida
Dovrebbe essere eseguito un processo di screening per tutto il personale, compreso il
personale a tempo pieno, part-time e temporaneo. Laddove questi soggetti siano
contrattualizzati tramite fornitori di servizi, i requisiti di screening dovrebbero essere
inclusi negli accordi contrattuali tra l'organizzazione e i fornitori.
Le informazioni su tutti i candidati presi in considerazione per posizioni all'interno
dell'organizzazione dovrebbero essere raccolte e trattate tenendo conto di ogni norma di
legge appropriata esistente nella giurisdizione pertinente. In alcune giurisdizioni,
l'organizzazione può essere legalmente obbligata a informare i candidati in anticipo sulle
attività di screening.
La verifica dovrebbe prendere in considerazione tutte le norme di legge pertinenti in
materia di privacy, di protezione dei dati personali e di impiego e, ove consentito, includere
quanto segue:
a) disponibilità di referenze soddisfacenti (per esempio referenze lavorative e
personali);
b) verifica (per completezza e accuratezza) del curriculum vitae del richiedente;
c) conferma dei titoli accademici e delle qualifiche professionali rivendicati;
d) verifica indipendente dell'identità (per esempio passaporto o altro documento
ammissibile rilasciato dalle autorità competenti);
e) verifiche più approfondite, quali il riesame del credito o il riesame del casellario
giudiziale se il candidato assume un ruolo critico.
Quando un individuo viene assunto per uno specifico ruolo di sicurezza delle
informazioni, le organizzazioni dovrebbero assicurarsi che il candidato:
a) abbia la necessaria competenza per svolgere il ruolo relativo alla sicurezza delle
informazioni;
b) sia affidabile per ricoprire il ruolo, specialmente se il ruolo è critico per
l'organizzazione.
Laddove un lavoro, sia su incarico iniziale che su promozione, prevede che la persona
abbia accesso a strutture di elaborazione delle informazioni e, in particolare, se queste
implicano il trattamento di informazioni riservate (per esempio informazioni economiche,
informazioni personali o informazioni sanitarie), l'organizzazione dovrebbe anche
considerare ulteriori verifiche più dettagliate.
Le procedure dovrebbero definire criteri e limiti per i riesami di verifica (per esempio chi è
idoneo a sottoporre a screening le persone e come, quando e perché vengono effettuati i
riesami di verifica).
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Human_resource_security #Governance_and_Ecosystem
#Integrity
#Availability
Controllo
Gli accordi contrattuali di lavoro dovrebbero indicare le responsabilità del personale e
dell'organizzazione relative alla sicurezza delle informazioni.
Finalità
Assicurare che il personale comprenda le proprie responsabilità in materia di sicurezza
delle informazioni per i ruoli per i quali è considerato.
Guida
Gli obblighi contrattuali per il personale dovrebbero prendere in considerazione la politica
per la sicurezza delle informazioni dell'organizzazione e le relative politiche specifiche.
Inoltre, possono essere chiariti e precisati i seguenti punti:
a) accordi di riservatezza o non divulgazione che il personale con accesso a
informazioni riservate dovrebbe firmare prima che gli venga dato accesso alle
informazioni e agli altri asset relativi (vedere 6.6);
b) responsabilità e diritti legali [per esempio per quanto riguarda le leggi sul diritto
d'autore o le norme di legge sulla protezione dei dati (vedere 5.32 e 5.34)];
c) responsabilità per la classificazione delle informazioni e per il trattamento delle
informazioni dell'organizzazione e degli altri asset relativi, delle strutture di
elaborazione delle informazioni e dei servizi informativi gestiti dal personale (vedere
da 5.9 a 5.13);
d) responsabilità relative al trattamento delle informazioni ricevute dagli interessati;
e) le azioni da intraprendere se il personale non rispetta i requisiti di sicurezza
dell'organizzazione (vedere 6.4).
I ruoli e le responsabilità relative alla sicurezza delle informazioni dovrebbero essere
comunicati ai candidati durante il processo di pre-assunzione.
L'organizzazione dovrebbe assicurare che il personale accetti i termini e le condizioni
riguardanti la sicurezza delle informazioni. Questi termini e condizioni dovrebbero essere
appropriati alla natura e all'estensione degli accessi che il personale avrà agli asset
dell'organizzazione associati ai sistemi e ai servizi informativi. I termini e le condizioni
relativi alla sicurezza delle informazioni dovrebbero essere riesaminati quando cambiano
le leggi, i regolamenti, la politica per la sicurezza delle informazioni o le politiche
specifiche.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Human_resource_security #Governance_and_Ecosystem
#Integrity
#Availability
Controllo
Il personale dell'organizzazione e le parti interessate pertinenti dovrebbero acquisire
adeguate consapevolezza, istruzione e formazione relative alla sicurezza delle
informazioni e aggiornamenti regolari della politica per la sicurezza delle informazioni
dell'organizzazione, delle politiche specifiche e delle procedure, secondo quanto
pertinente alla loro funzione lavorativa.
Finalità
Assicurare che il personale e le parti interessate pertinenti siano a conoscenza e
adempiano alle proprie responsabilità in materia di sicurezza delle informazioni.
Guida
Generale
Dovrebbe essere stabilito un programma delle attività relative alla consapevolezza,
all’istruzione e alla formazione sulla sicurezza delle informazioni in linea con la politica per
la sicurezza delle informazioni dell'organizzazione, le politiche specifiche e le procedure
pertinenti per la sicurezza delle informazioni, tenendo in considerazione le informazioni
dell'organizzazione da proteggere e i controlli per la sicurezza delle informazioni che sono
stati attuati per proteggere le informazioni.
Le attività relative a consapevolezza, istruzione e formazione sulla sicurezza delle
informazioni dovrebbero aver luogo periodicamente. L’acquisizione di consapevolezza
iniziale, l'istruzione e la formazione possono applicarsi al nuovo personale e a coloro che
passano a nuove posizioni o ruoli con requisiti di sicurezza delle informazioni
sostanzialmente diversi.
La comprensione da parte del personale dovrebbe essere valutata al termine di un'attività
di consapevolezza, istruzione o formazione per verificare il trasferimento delle
conoscenze e l'efficacia del programma di consapevolezza, istruzione e formazione.
Consapevolezza
Un programma di consapevolezza relativa alla sicurezza delle informazioni dovrebbe
mirare a rendere il personale consapevole delle proprie responsabilità in materia di
sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte.
Tipo di controllo Proprietà di sicurezza Concetti di cybersecurity Capacità operative Domini di sicurezza
delle informazioni
#Preventive #Confidentiality #Protect #Human_resource_security #Governance_and_Ecosystem
#Corrective #Integrity #Respond
#Availability
Controllo
Un processo disciplinare dovrebbe essere formalizzato e comunicato per intraprendere
azioni contro il personale e altre parti interessate pertinenti che hanno commesso una
violazione della politica per la sicurezza delle informazioni.
Finalità
Assicurare che il personale e le altre parti interessate pertinenti comprendano le
conseguenze delle violazioni della politica per la sicurezza delle informazioni, scoraggiare
e trattare in modo appropriato il personale che ha commesso una violazione.
Guida
Il processo disciplinare non dovrebbe essere avviato senza la previa verifica che si sia
verificata una violazione della politica per la sicurezza delle informazioni (vedere 5.28).
Il processo disciplinare formale dovrebbe prevedere una risposta graduale che tenga
conto di fattori quali:
a) la natura (chi, cosa, quando, come) e la gravità della violazione e le sue
conseguenze;
b) se il reato è stato intenzionale (doloso) o non intenzionale (accidentale);
c) se si tratta della prima volta in cui il reato è stato commesso o una ripetizione;
d) se il trasgressore è stato adeguatamente formato o meno.
La risposta dovrebbe prendere in considerazione i requisiti legali, statutari, normativi
contrattuali e di business pertinenti, nonché altri fattori, se necessario. Il processo
disciplinare dovrebbe essere utilizzato anche come deterrente per impedire al personale
di violare la politica per la sicurezza delle informazioni, le politiche specifiche e le
procedure relative alla sicurezza delle informazioni. Violazioni intenzionali delle politiche
di sicurezza delle informazioni possono richiedere azioni immediate.
Altre informazioni
Ove possibile, l'identità delle persone soggette ad azione disciplinare dovrebbe essere
tutelata in linea con i requisiti applicabili.
Quando le persone dimostrano un comportamento eccellente per quanto riguarda la
sicurezza delle informazioni, possono essere premiate per promuovere la sicurezza delle
informazioni e incoraggiare un buon comportamento.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Human_resource_security #Governance_and_Ecosystem
#Integrity #Asset_management
#Availability
Controllo
Le responsabilità e gli obblighi in materia di sicurezza delle informazioni che rimangono
validi dopo la cessazione o il cambio d’impiego dovrebbero essere definiti, applicati e
comunicati al personale pertinente e alle altre parti interessate.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Human_resource_security #Governance_and_Ecosystem
#Information_protection
#Supplier_relationships_security
Controllo
Gli accordi di riservatezza o non divulgazione che riflettono le esigenze
dell'organizzazione per la protezione delle informazioni dovrebbero essere identificati,
documentati, riesaminati regolarmente e firmati dal personale e dalle altre parti
interessate pertinenti.
Finalità
Mantenere la riservatezza delle informazioni accessibili dal personale o da soggetti
esterni.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Asset_management #Protection
#Integrity #Information_protection
#Availability #Physical_security
#System_and_network_security
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Detective #Confidentiality #Detect #Information_security_event_management #Defence
#Integrity
#Availability
Controllo
L'organizzazione dovrebbe fornire un meccanismo che consenta al personale di
segnalare tempestivamente, attraverso canali appropriati, gli eventi relativi alla sicurezza
delle informazioni osservati o sospetti.
Finalità
Supportare la segnalazione tempestiva, coerente ed efficace degli eventi relativi alla
sicurezza delle informazioni che possono essere identificati dal personale.
Guida
Tutto il personale e gli utenti dovrebbero essere informati della loro responsabilità di
segnalare gli eventi relativi alla sicurezza delle informazioni il più rapidamente possibile al
fine di prevenire o ridurre al minimo gli effetti degli incidenti relativi alla sicurezza delle
informazioni. Dovrebbero inoltre essere a conoscenza della procedura per la
segnalazione degli eventi relativi alla sicurezza delle informazioni e del punto di contatto
a cui dovrebbero essere segnalati gli eventi. Il meccanismo di segnalazione dovrebbe
essere il più semplice, accessibile e disponibile possibile. Gli eventi relativi alla sicurezza
delle informazioni includono incidenti, violazioni e vulnerabilità.
Le situazioni da considerare per la segnalazione degli eventi relativi alla sicurezza delle
informazioni includono:
a) inefficace controllo della sicurezza delle informazioni;
b) violazione di riservatezza, integrità o disponibilità delle informazioni;
c) errori umani;
d) mancato rispetto della politica per la sicurezza delle informazioni, delle politiche
specifiche o delle norme applicabili;
e) violazioni delle misure di sicurezza fisica;
f) cambiamenti del sistema che non hanno seguito il processo di gestione dei
cambiamenti;
g) malfunzionamenti o altri comportamenti anomali dei sistemi software o hardware;
7 CONTROLLI FISICI
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity
#Availability
Controllo
I perimetri di sicurezza dovrebbero essere definiti e utilizzati per proteggere le aree che
contengono le informazioni e gli altri asset relativi.
Finalità
Prevenire accessi fisici non autorizzati, danni e interferenze alle informazioni
dell'organizzazione e agli altri asset relativi.
Guida
Le seguenti linee guida dovrebbero essere considerate e attuate ove appropriato per i
perimetri di sicurezza fisica:
a) definire i perimetri di sicurezza e l'ubicazione e la robustezza di ciascuno dei
perimetri in conformità con i requisiti di sicurezza delle informazioni relativi agli asset
all'interno del perimetro;
b) avere perimetri fisicamente robusti per un edificio o un sito contenente strutture di
elaborazione delle informazioni (cioè non dovrebbero esserci discontinuità nel
perimetro o aree in cui può verificarsi facilmente un'effrazione). I tetti, i muri, i soffitti
e i pavimenti del sito dovrebbero essere di costruzione solida e tutte le porte esterne
dovrebbero essere adeguatamente protette contro l'accesso non autorizzato con
meccanismi di controllo (per esempio sbarre, allarmi, serrature). Porte e finestre
dovrebbero essere chiuse a chiave quando non presidiate e dovrebbe essere presa
in considerazione la protezione esterna per le finestre, in particolare a livello del
suolo; dovrebbero essere considerati anche i punti di ventilazione;
c) allarmare, monitorare e testare tutte le porte tagliafuoco di un perimetro di sicurezza
congiuntamente ai muri per stabilire il livello di resistenza richiesto secondo norme
adeguate. Dovrebbero operare in modo sicuro anche in caso di malfunzionamento.
Altre informazioni
La protezione fisica può essere ottenuta creando una o più barriere fisiche intorno ai locali
dell'organizzazione e alle strutture di elaborazione delle informazioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity #Identity_and_Access_Management
#Availability
Controllo
Le aree sicure dovrebbero essere protette da adeguati controlli all’ingresso e ai punti di
accesso.
Finalità
Assicurare solo l'accesso fisico autorizzato alle informazioni dell'organizzazione e agli
altri asset relativi.
Guida
Generale
I punti di accesso, come le aree di consegna e carico e altri punti in cui persone non
autorizzate possono entrare nelle sedi, dovrebbero essere controllati e, se possibile,
isolati dalle strutture di elaborazione delle informazioni per evitare l'accesso non
autorizzato.
Le seguenti linee guida dovrebbero essere considerate:
a) limitare l'accesso ai siti e agli edifici al solo personale autorizzato. Il processo per la
gestione dei diritti di accesso alle aree fisiche dovrebbe comprendere l’attribuzione,
il riesame periodico, l'aggiornamento e la revoca delle autorizzazioni (vedere 5.18);
b) mantenere e monitorare in modo sicuro un registro fisico o un audit trail elettronico di
tutti gli accessi e proteggere tutti i log (vedere 5.33) e le informazioni sensibili di
autenticazione;
c) l'istituzione e l'attuazione di un processo e di meccanismi tecnici per la gestione degli
accessi alle aree in cui le informazioni sono trattate o conservate. I meccanismi di
autenticazione includono l'uso di carte di accesso, di dati biometrici o di
autenticazione a due fattori come una carta di accesso e un PIN segreto.
Dovrebbero essere prese in considerazione doppie porte di sicurezza per l'accesso
alle aree sensibili;
d) predisporre un'area di accoglienza sorvegliata da personale, o altro mezzo per
controllare l'accesso fisico al sito o all'edificio;
e) ispezionare ed esaminare gli effetti personali del personale e delle parti interessati
all'ingresso e all'uscita;
Nota Possono esistere norme di legge e regolamenti locali in merito alla possibilità di ispezionare gli effetti
personali.
f) richiedere a tutto il personale e alle parti interessate di indossare una qualche forma
di identificazione visibile e di avvisare immediatamente il personale di sicurezza se
incontra visitatori non accompagnati e chiunque non porti un'identificazione visibile.
Dovrebbero essere presi in considerazione badge facilmente distinguibili per
identificare meglio dipendenti, fornitori e visitatori permanenti;
g) concedere al personale dei fornitori un accesso limitato ad aree sicure o strutture di
elaborazione delle informazioni solo quando richiesto. Questo accesso dovrebbe
essere autorizzato e monitorato;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity #Asset_management
#Availability
Controllo
La sicurezza fisica di uffici, stanze e strutture dovrebbe essere progettata e attuata.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Detective #Integrity #Detect #Defence
#Availability
Controllo
Le sedi dovrebbero essere costantemente monitorate per l'accesso fisico non autorizzato.
Finalità
Rilevare e scoraggiare accessi fisici non autorizzati.
Guida
Le sedi fisiche dovrebbero essere monitorate da sistemi di sorveglianza, che possono
includere guardie, allarmi anti-intrusione, sistemi di video sorveglianza, come televisioni a
circuito chiuso, e software di gestione delle informazioni di sicurezza fisica gestiti
internamente o da un fornitore di servizi di monitoraggio.
L'accesso agli edifici che ospitano sistemi critici dovrebbe essere costantemente
monitorato per rilevare accessi non autorizzati o comportamenti sospetti attraverso:
a) l'installazione di sistemi di video sorveglianza, come televisioni a circuito chiuso, per
visualizzare e registrare l'accesso ad aree sensibili all'interno e all'esterno delle sedi
di un'organizzazione;
b) l'installazione, secondo le norme applicabili pertinenti, e la conduzione periodica di
test dei rilevatori di contatto, suono o movimento che possono attivare allarmi di
intrusione come:
1) l’installazione di rilevatori di contatto che attivano un allarme quando un contatto
viene stabilito o interrotto in qualsiasi luogo in cui un contatto può essere stabilito
o interrotto (come finestre e porte e oggetti sottostanti) per attivare allarmi
anti-panico;
2) rilevatori di movimento basati su tecnologia a infrarossi che attivano un allarme
quando un oggetto passa nel loro campo visivo;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity
#Availability
Controllo
Dovrebbe essere progettata e attuata la protezione contro le minacce fisiche e ambientali,
come i disastri naturali e altre minacce fisiche intenzionali o non intenzionali
all'infrastruttura.
Finalità
Prevenire o ridurre le conseguenze di eventi originati da minacce fisiche e ambientali.
Guida
Prima di iniziare le operazioni critiche in un sito fisico e a intervalli regolari dovrebbe
essere eseguita una valutazione del rischio per identificare le potenziali conseguenze
delle minacce fisiche e ambientali. Dovrebbero essere attuate le necessarie misure di
protezione e dovrebbero essere monitorati i cambiamenti alle minacce. Si dovrebbe
ottenere una consulenza specialistica su come gestire i rischi derivanti da minacce fisiche
e ambientali come incendi, inondazioni, terremoti, esplosioni, disordini civili, rifiuti tossici,
emissioni e altre forme di calamità naturali o disastri causati da esseri umani.
L'ubicazione fisica e la costruzione delle sedi dovrebbero tenere conto di:
a) topografia locale, come quota adeguata, masse d’acqua e faglie tettoniche;
b) minacce urbane, come luoghi ad alta attrattività di disordini politici, attività criminali o
attacchi terroristici.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity
#Availability
Controllo
Dovrebbero essere progettate e attuate misure di sicurezza per lavorare in aree sicure.
Finalità
Proteggere le informazioni e gli altri asset relativi in aree sicure da danni e interferenze
non autorizzate da parte del personale che lavora in queste aree.
Guida
Le misure di sicurezza per il lavoro in aree sicure dovrebbero applicarsi a tutto il personale
e coprire tutte le attività che si svolgono nelle aree sicure.
Le seguenti linee guida dovrebbero essere considerate:
a) sulla base della necessità di conoscere, informare il personale solo dell'esistenza o
delle attività all'interno di un'area sicura;
b) evitare il lavoro non sorvegliato in aree sicure sia per motivi di sicurezza sia per
ridurre le possibilità di attività malevole;
c) bloccare fisicamente e ispezionare periodicamente le aree sicure non occupate;
d) non consentire l’uso di apparecchiature di registrazione fotografiche, video, audio o
di altro tipo, come telecamere negli endpoint degli utenti, a meno che non siano
autorizzate;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
Controllo
Dovrebbero essere definite e opportunamente applicate regole chiare relative ai
documenti cartacei e ai supporti di memorizzazione rimovibili e, per le strutture di
elaborazione delle informazioni, regole chiare relative allo schermo.
Finalità
Ridurre i rischi di accesso non autorizzato, perdita e danneggiamento delle informazioni
trattate su scrivanie, a schermo e in altri luoghi accessibili durante e al di fuori del normale
orario di lavoro.
Guida
L'organizzazione dovrebbe stabilire e comunicare a tutte le parti interessate pertinenti
una politica specifica per la “scrivania pulita” e per lo “schermo pulito”.
Le seguenti linee guida dovrebbero essere considerate:
a) bloccare le informazioni di business sensibili o critiche (per esempio su carta o su
supporti di memorizzazione elettronici) (idealmente in una cassaforte, in un
armadietto o in un altro tipo di mobilio di sicurezza) quando non sono richieste,
soprattutto quando nell'ufficio non vi sono persone;
b) proteggere gli endpoint degli utenti mediante lucchetti o altri mezzi di sicurezza
quando non utilizzati o non presidiati;
c) lasciare gli endpoint degli utenti disconnessi o protetti con un meccanismo di blocco
dello schermo o della tastiera controllato da un meccanismo di autenticazione degli
utenti quando non presidiato. Tutti i computer e i sistemi dovrebbero essere
configurati con una funzione di time-out o logout automatico;
d) fare in modo che l'originatore raccolga immediatamente gli output dalle stampanti o
dai dispositivi multifunzione. Usare stampanti con funzione di autenticazione, in
modo che gli originatori siano gli unici che possono ottenere le loro stampe e solo
stando accanto alla stampante;
e) conservare in sicurezza documenti e supporti di memorizzazione rimovibili
contenenti informazioni sensibili e, quando non più necessari, eliminarli mediante
meccanismi di smaltimento sicuro;
f) stabilire e comunicare regole e linee guida per la configurazione dei pop-up sugli
schermi (per esempio disattivazione dei pop-up di nuovi messaggi, se possibile,
durante le presentazioni, la condivisione dello schermo o in un'area pubblica);
g) cancellare le informazioni sensibili o critiche da lavagne e altri tipi di strumenti di
visualizzazione quando non più necessarie.
L'organizzazione dovrebbe disporre di procedure in occasione dello sgombero delle
strutture, che includano lo svolgimento di una pulizia finale prima della partenza per
assicurare che gli asset dell'organizzazione non vengano lasciati (per esempio documenti
caduti dietro cassetti o mobili).
Altre informazioni
Nessun'altra informazione.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity #Asset_management
#Availability
Controllo
Le apparecchiature dovrebbero essere posizionate in modo sicuro e protetto.
Finalità
Ridurre i rischi derivanti da minacce fisiche e ambientali e da accessi non autorizzati e
danni.
Guida
Le seguenti linee guida dovrebbero essere considerate per proteggere le
apparecchiature:
a) disporre le apparecchiature in modo da ridurre al minimo gli accessi non necessari
alle aree di lavoro ed evitare accessi non autorizzati;
b) posizionare con cura le strutture di elaborazione delle informazioni che trattano dati
sensibili per ridurre il rischio che le informazioni vengano visualizzate da persone
non autorizzate durante il loro utilizzo;
c) adottare controlli per ridurre al minimo il rischio di potenziali minacce fisiche e
ambientali [per esempio furto, incendio, esplosivi, fumo, acqua (o mancanza di
alimentazione idrica), polvere, vibrazioni, effetti chimici, interferenze
nell'alimentazione elettrica, interferenze nelle comunicazioni, radiazioni
elettromagnetiche e atti vandalici];
d) stabilire linee guida in merito al mangiare, bere e fumare in prossimità di strutture di
elaborazione delle informazioni;
e) monitorare le condizioni ambientali, quali la temperatura e l'umidità, per quelle che
possono influire negativamente sul funzionamento delle strutture di elaborazione
delle informazioni;
f) applicare la protezione contro i fulmini a tutti gli edifici e installare filtri antifulmine su
tutte le linee in ingresso elettriche e di comunicazione;
g) considerare l'utilizzo di particolari metodi di protezione, quali membrane per tastiere,
per le strutture in ambienti industriali;
h) proteggere le apparecchiature che elaborano informazioni riservate per ridurre al
minimo il rischio di fuga di informazioni a causa di emanazioni elettromagnetiche;
i) separare fisicamente le strutture informatiche gestite dall'organizzazione da quelle
non gestite dall'organizzazione.
Altre informazioni
Nessun'altra informazione.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity #Asset_management
#Availability
Controllo
Gli asset al di fuori delle sedi dovrebbero essere protetti.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity #Asset_management
#Availability
Controllo
I supporti di memorizzazione dovrebbero essere gestiti lungo tutto il loro ciclo di vita di
acquisizione, uso, trasporto e smaltimento in conformità con lo schema di classificazione
dell'organizzazione e con i requisiti di trattamento.
Finalità
Assicurare solo la divulgazione, la modifica, la rimozione o la distruzione autorizzate delle
informazioni sui supporti di memorizzazione.
Guida
Supporti di memorizzazione rimovibili
Si dovrebbero considerare le seguenti linee guida per la gestione dei supporti di
memorizzazione rimovibili:
a) stabilire una politica specifica per la gestione dei supporti di memorizzazione
rimovibili e comunicare tale politica specifica a chiunque utilizza o tratta supporti di
memorizzazione rimovibili;
b) ove necessario e pratico, richiedere l'autorizzazione allo spostamento dei supporti di
memorizzazione al di fuori dell'organizzazione e tenere un registro di tali
spostamenti al fine di mantenere un audit trail;
c) conservare tutti i supporti di memorizzazione in un ambiente sicuro a seconda di
come sono state classificate le loro informazioni e proteggerli dalle minacce
ambientali (quali calore, acqua, umidità, campi elettrici e invecchiamento), secondo
le specifiche dei produttori;
d) se la riservatezza o l'integrità delle informazioni sono considerate importanti,
utilizzare tecniche crittografiche per proteggere le informazioni sui supporti di
memorizzazione rimovibili;
e) mitigare il rischio di degrado dei supporti di memorizzazione quando le informazioni
memorizzate sono ancora necessarie, trasferendo le informazioni su nuovi supporti
di memorizzazione prima che diventino illeggibili;
f) memorizzare più copie delle informazioni di valore su supporti di memorizzazione
distinti per ridurre ulteriormente il rischio di danni o perdite accidentali di
informazioni;
g) considerare la registrazione dei supporti di memorizzazione rimovibili per limitare la
possibilità di perdita di informazioni;
h) abilitare le porte per supporti di memorizzazione rimovibili (per esempio slot per
schede SD e porte USB) solo se esiste una ragione dettata dall’organizzazione per
il loro utilizzo;
i) ove vi sia la necessità di utilizzare supporti di memorizzazione rimovibili, monitorare
il trasferimento delle informazioni su tali supporti di memorizzazione;
j) le informazioni possono essere vulnerabili ad accesso non autorizzato, uso
improprio o danneggiamento durante il trasporto fisico, per esempio durante l'invio di
supporti di memorizzazione tramite il servizio postale o tramite corriere.
In questo controllo, i supporti includono i documenti cartacei. Quando si trasferiscono
supporti fisici di memorizzazione, applicare le misure di sicurezza in 5.14.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Integrity #Protect #Physical_security #Protection
#Detective #Availability #Detect
Controllo
Le strutture di elaborazione delle informazioni dovrebbero essere protette da interruzioni
di corrente e altre interruzioni causate da guasti nelle infrastrutture di supporto.
Finalità
Prevenire la perdita, il danneggiamento o la compromissione di informazioni e degli altri
asset relativi, o l'interruzione delle operazioni dell'organizzazione a causa di guasti o di
interruzioni delle infrastrutture di supporto.
Guida
Le organizzazioni dipendono dai servizi di pubblica utilità (per esempio elettricità,
telecomunicazioni, approvvigionamento idrico, gas, fognature, ventilazione e aria
condizionata) per supportare le proprie strutture di elaborazione delle informazioni.
Pertanto, l'organizzazione dovrebbe:
a) assicurare che le apparecchiature a supporto delle infrastrutture siano configurate,
gestite e mantenute in conformità con le specifiche del produttore pertinente;
b) assicurare che le infrastrutture siano valutate regolarmente per la loro capacità di
soddisfare la crescita del business e le interazioni con altre infrastrutture di supporto;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Availability
Controllo
I cavi che trasportano alimentazione, dati o servizi informativi di supporto dovrebbero
essere protetti da intercettazioni, interferenze o danni.
Finalità
Prevenire la perdita, il danneggiamento, il furto o la compromissione di informazioni e
degli altri asset relativi e l'interruzione delle operazioni dell'organizzazione dovuti ai cavi di
alimentazione e comunicazione.
Guida
Si dovrebbero considerare le seguenti linee guida per la sicurezza del cablaggio:
a) nelle strutture di elaborazione delle informazioni, avere le linee elettriche e di
telecomunicazione interrate, ove possibile, o soggette ad adeguate protezioni
alternative, quali pedane passacavi sul pavimento e colonne multipresa; se i cavi
sono interrati, proteggerli da tagli accidentali (per esempio con condutture blindate o
segnali di presenza);
b) separare i cavi di alimentazione dai cavi di comunicazione per prevenire le
interferenze;
c) per i sistemi sensibili o critici, ulteriori controlli da considerare includono:
1) installazione di condutture blindate e locali o cassette chiuse e allarmi nei punti
di ispezione e terminazione;
2) utilizzo di schermature elettromagnetiche a protezione dei cavi;
3) controlli tecnici periodici e ispezioni fisiche per rilevare dispositivi non autorizzati
attaccati ai cavi;
4) accesso controllato ai quadri d'interconnessione e alle cabine di cablaggio (per
esempio con chiavi meccaniche o PIN);
5) utilizzo di cavi in fibra ottica;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Integrity #Asset_management #Resilience
#Availability
Controllo
Le apparecchiature dovrebbero essere mantenute correttamente per assicurare la
disponibilità, l'integrità e la riservatezza delle informazioni.
Finalità
Prevenire la perdita, il danneggiamento, il furto o la compromissione di informazioni e
degli altri asset relativi e l'interruzione delle operazioni dell'organizzazione causate dalla
mancanza di manutenzione.
Guida
Dovrebbero essere considerate le seguenti linee guida per la manutenzione delle
apparecchiature:
a) mantenere le apparecchiature in conformità alla frequenza e alle specifiche di
servizio raccomandate dal fornitore;
b) attuare e monitorare, da parte dell'organizzazione, un programma di manutenzione;
c) far effettuare riparazioni e manutenzioni sulle apparecchiature solo al personale di
manutenzione autorizzato;
d) tenere traccia di tutti i guasti sospetti o reali e di tutte le manutenzioni preventive e
correttive;
e) attuare adeguati controlli quando è programmata la manutenzione delle
apparecchiature, considerando se tale manutenzione è eseguita da personale
interno o esterno all'organizzazione; sottoporre il personale addetto alla
manutenzione a un adeguato accordo di riservatezza;
f) supervisionare il personale addetto alla manutenzione durante l'esecuzione della
manutenzione in loco;
g) autorizzare e controllare l'accesso per la manutenzione da distanza;
h) applicare le misure di sicurezza per gli asset all’esterno delle sedi (vedere 7.9) se,
per manutenzione, le apparecchiature contenenti informazioni vengono spostate al
di fuori della sede;
i) adempiere a tutti i requisiti relativi alla manutenzione imposti dall'assicurazione;
j) prima di rimettere in funzione l'apparecchiatura dopo la manutenzione, ispezionarla per
verificare che l'apparecchiatura non sia stata manomessa e funzioni correttamente;
k) applicare misure per lo smaltimento e il riutilizzo sicuro delle apparecchiature
(vedere 7.14) quando si stabilisce che le apparecchiature vanno smaltite.
Altre informazioni
Le apparecchiature includono: componenti tecnici di strutture di elaborazione delle informazioni,
UPS e batterie, generatori di corrente, alternatori e convertitori di potenza, sistemi di rilevamento
delle intrusioni fisiche e allarme, rilevatori di fumo, estintori, aria condizionata e ascensori.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Physical_security #Protection
#Asset_management
Controllo
Prima del loro smaltimento o riutilizzo, gli elementi delle apparecchiature contenenti
supporti di memorizzazione dovrebbero essere verificati per assicurare che tutti i dati
sensibili e il software in licenza siano stati rimossi o sovrascritti in modo sicuro.
Finalità
Prevenire la perdita di informazioni dalle apparecchiature da smaltire o riutilizzare.
Guida
Le apparecchiature dovrebbero essere verificate per accertare la presenza o meno di
supporti di memorizzazione prima dello smaltimento o del riutilizzo.
I supporti di memorizzazione contenenti informazioni riservate o sottoposte a diritto
d’autore dovrebbero essere fisicamente distrutti oppure le informazioni dovrebbero
essere distrutte, cancellate o sovrascritte utilizzando tecniche per rendere le informazioni
originali non recuperabili e non utilizzando la funzione di eliminazione standard. Vedere
7.10 per indicazioni dettagliate sullo smaltimento sicuro dei supporti di memorizzazione e
8.10 per indicazioni sull'eliminazione delle informazioni.
Le etichette e i contrassegni che identificano l'organizzazione o indicano la
classificazione, il responsabile, il sistema o la rete dovrebbero essere rimossi prima dello
smaltimento (che include anche la rivendita e la donazione in beneficenza).
Al termine del contratto di locazione o quando l’apparecchiatura lascia la sede fisica,
l'organizzazione dovrebbe prendere in considerazione la rimozione dei controlli per la
sicurezza come i controlli di accesso o le apparecchiature di sorveglianza. Questo
dipende da fattori quali:
a) gli accordi, nell’ambito della locazione, per riportare le strutture alle condizioni
originali;
b) la riduzione al minimo del rischio di lasciare i sistemi con informazioni sensibili su di
essi per il successivo locatario (per esempio elenchi degli utenti con diritti di
accesso, file video o immagini);
c) la possibilità di riutilizzare i controlli presso la nuova struttura.
Altre informazioni
Le apparecchiature danneggiate contenenti supporti di memorizzazione possono
richiedere una valutazione del rischio per determinare se gli elementi devono essere
fisicamente distrutti o inviati per la riparazione o scartati. Le informazioni possono essere
compromesse da uno smaltimento incauto o dal riutilizzo delle apparecchiature.
Oltre alla cancellazione sicura del disco, la crittografia dell'intero disco riduce il rischio di
divulgazione di informazioni riservate quando le apparecchiature vengono eliminate o
riassegnate, a condizione che:
a) il processo di crittografia sia sufficientemente robusto e copra l'intero disco (incluso
lo slack space e i file di swap);
b) le chiavi crittografiche siano sufficientemente lunghe da resistere agli attacchi di
forza bruta;
c) le chiavi crittografiche stesse siano mantenute riservate (per esempio mai
memorizzate sullo stesso disco).
Per ulteriori consigli sulla crittografia, vedere 8.24.
8 CONTROLLI TECNOLOGICI
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Asset_management #Protection
#Integrity #Information_protection
#Availability
Controllo
Le informazioni memorizzate, elaborate o accessibili tramite gli endpoint degli utenti
dovrebbero essere protette.
Finalità
Proteggere le informazioni dai rischi introdotti con l’utilizzo degli endpoint degli utenti.
Guida
Generale
L'organizzazione dovrebbe stabilire una politica specifica per la configurazione e la
gestione sicura degli endpoint degli utenti. Tale politica dovrebbe essere comunicata a
tutto il personale interessato e considerare quanto segue:
a) il tipo di informazioni e il livello di classificazione che gli endpoint degli utenti possono
trattare, elaborare, memorizzare o supportare;
b) registrazione degli endpoint degli utenti;
c) requisiti di protezione fisica;
d) limitazione all'installazione di software (per esempio controllata a distanza dagli
amministratori di sistema);
e) requisiti per il software degli endpoint degli utenti (incluse le versioni software) e per
l'applicazione degli aggiornamenti (per esempio aggiornamento automatico attivo);
f) regole per la connessione ai servizi informatici, alle reti pubbliche o a qualsiasi altra
rete fuori sede (per esempio richiedere l'utilizzo di personal firewall);
g) controlli di accesso;
h) cifratura del dispositivo di memorizzazione;
i) protezione da malware;
j) disabilitazione, cancellazione o blocco a distanza;
k) backup;
l) utilizzo di servizi web e applicazioni web;
m) analisi del comportamento degli utenti finali (vedere 8.16);
n) l'utilizzo di dispositivi rimovibili, compresi i dispositivi di memoria rimovibili, e la
possibilità di disabilitare le porte fisiche (per esempio porte USB);
o) l'uso di funzionalità di partizionamento, se supportate dall’endpoint, che possono
separare in modo sicuro le informazioni dell'organizzazione e gli altri asset relativi
(per esempio software) da altre informazioni e gli altri asset relativi sul dispositivo.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Identity_and_access_management #Protection
#Integrity
#Availability
Controllo
L'assegnazione e l'uso dei diritti di accesso privilegiato dovrebbero essere limitati e
gestiti.
Finalità
Assicurare che solo agli utenti, ai componenti software e ai servizi autorizzati, vengano
forniti diritti di accesso privilegiato.
Guida
L'assegnazione dei diritti di accesso privilegiato dovrebbe essere controllata attraverso un
processo di autorizzazione in conformità con la specifica politica per il controllo degli
accessi (vedere 5.15). Occorre considerare quanto segue:
a) identificare gli utenti che necessitano di diritti di accesso privilegiato per ciascun
sistema o processo (per esempio sistemi operativi, sistemi di gestione di database e
applicazioni);
b) attribuire i diritti di accesso privilegiato agli utenti secondo necessità ed evento per
evento, in linea con la politica per il controllo degli accessi (vedere 5.15) (ossia solo
a soggetti con le competenze necessarie per svolgere le attività che richiedono
l’accesso privilegiato e sulla base dei requisiti minimi per i loro ruoli funzionali);
c) mantenere un processo di autorizzazione (ossia determinare chi può approvare i
diritti di accesso privilegiato o non concedere diritti di accesso privilegiato fino al
completamento del processo di autorizzazione) e un registro di tutti i privilegi
assegnati;
d) definire e attuare i requisiti per la scadenza dei diritti di accesso privilegiato;
e) adottare misure per assicurare che gli utenti siano a conoscenza dei propri diritti di
accesso privilegiato e quando si trovano in modalità di accesso privilegiato. Le
possibili misure includono l'uso di identità utente specifiche, impostazioni
dell'interfaccia utente o persino apparecchiature specifiche;
f) i requisiti di autenticazione per i diritti di accesso privilegiato possono essere
superiori ai requisiti per i normali diritti di accesso. Prima di lavorare con diritti di
accesso privilegiato può essere necessaria una nuova autenticazione o un
incremento di autenticazione;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Identity_and_access_management #Protection
#Integrity
#Availability
Controllo
Gli accessi alle informazioni e agli altri asset relativi dovrebbero essere limitati in
conformità con la politica specifica per il controllo degli accessi.
Finalità
Assicurare solo gli accessi autorizzati e impedire gli accessi non autorizzati alle
informazioni e agli altri asset relativi.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Identity_and_access_management #Protection
#Integrity #Application_security
#Availability #Secure_configuration
Controllo
L'accesso in lettura e scrittura al codice sorgente, agli strumenti di sviluppo e alle librerie
software dovrebbe essere gestito in modo appropriato.
Finalità
Prevenire l'introduzione di funzionalità non autorizzate, evitare cambiamenti non
intenzionali o dannosi e mantenere la riservatezza della proprietà intellettuale di valore.
Guida
L'accesso al codice sorgente e agli elementi associati (come progetti, specifiche, piani di
verifica e piani di validazione) e agli strumenti di sviluppo (per esempio compilatori,
builders, strumenti di integrazione, piattaforme e ambienti di test) dovrebbe essere
rigorosamente controllato.
Per il codice sorgente, ciò può essere ottenuto controllando la memorizzazione centrale di
tale codice, preferibilmente nel sistema di gestione del codice sorgente.
L'accesso in lettura e l'accesso in scrittura al codice sorgente può variare in base al ruolo
del personale. Per esempio, l'accesso in lettura al codice sorgente può essere
ampiamente fornito all'interno dell'organizzazione, ma l'accesso in scrittura al codice
sorgente è reso disponibile solo al personale privilegiato o ai responsabili designati.
Laddove i componenti del codice vengono utilizzati da più sviluppatori all'interno di
un'organizzazione, si dovrebbe attuare l'accesso in lettura a un repository di codice
centralizzato. Inoltre, se all'interno di un'organizzazione vengono utilizzati codice open
source o componenti di codice di terze parti, l'accesso in lettura a tali repository esterni di
codice può essere ampiamente fornito. Tuttavia, l'accesso in scrittura dovrebbe
comunque essere limitato.
Le seguenti linee guida dovrebbero essere prese in considerazione per controllare
l'accesso alle librerie di sorgenti dei programmi al fine di ridurre la possibilità di corruzione
dei programmi per computer:
a) gestire l'accesso al codice sorgente dei programmi e alle librerie dei sorgenti dei
programmi secondo procedure stabilite;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Identity_and_access_management #Protection
#Integrity
#Availability
Controllo
Le tecnologie e le procedure di autenticazione sicura dovrebbero essere attuate in base
alle limitazioni degli accessi alle informazioni e alla politica specifica per il controllo degli
accessi.
Finalità
Assicurare che un utente o un'entità sia autenticata in modo sicuro quando viene
concesso l'accesso a sistemi, applicazioni e servizi.
Guida
Dovrebbe essere scelta una tecnica di autenticazione adeguata per comprovare l'identità
dichiarata di un utente, di un software, di messaggi e di altre entità.
La robustezza dell'autenticazione dovrebbe essere adeguata alla classificazione delle
informazioni a cui accedere. Laddove sia richiesta l'autenticazione forte e la verifica
dell'identità, dovrebbero essere utilizzati metodi di autenticazione alternativi alle
password, come certificati digitali, smart card, token o mezzi biometrici.
Le informazioni di autenticazione dovrebbero essere accompagnate da ulteriori fattori di
autenticazione per l'accesso ai sistemi informativi critici (nota anche come autenticazione
a più fattori). L'utilizzo di una combinazione di più fattori di autenticazione, come ciò che si
sa, ciò che si ha e ciò che si è, riduce le possibilità di accessi non autorizzati.
L'autenticazione a più fattori può essere combinata con altre tecniche per richiedere fattori
aggiuntivi in circostanze specifiche, in base a regole e schemi predefiniti, come l'accesso
da una posizione insolita, da un dispositivo insolito o in un momento insolito.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Integrity #Identify #Protect #Continuity #Governance_and_Ecosystem
#Detective #Availability #Detect #Protection
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #System_and_network_security #Protection
#Detective #Integrity #Detect #Information_protection #Defence
#Corrective #Availability
Controllo
La protezione dal malware dovrebbe essere attuata e supportata da un'adeguata
consapevolezza degli utenti.
Finalità
Assicurare che le informazioni e gli altri asset relativi siano protetti dal malware.
Guida
La protezione contro il malware dovrebbe basarsi sulla rilevazione del malware e sul
software di ripristino, sulla consapevolezza della sicurezza delle informazioni,
sull'appropriato accesso ai sistemi e sui controlli di gestione dei cambiamenti. L'impiego
del solo software di rilevamento e di ripristino dal malware non è generalmente adeguato.
Dovrebbero essere considerate le seguenti linee guida:
a) attuare regole e controlli che impediscano o rilevino l'uso di software non autorizzato
[per esempio allowlisting di applicazioni (ossia utilizzare un elenco delle applicazioni
consentite)] (vedere 8.19 e 8.32);
b) attuare controlli che impediscano o rilevino l'uso di siti web dannosi noti o sospetti
(per esempio blocklisting);
c) ridurre le vulnerabilità che possono essere sfruttate dal malware [per esempio
attraverso la gestione delle vulnerabilità tecniche (vedi 8.8 e 8.19)];
d) condurre una regolare validazione automatizzata del software e dei dati contenuti
nei sistemi, in particolare per i sistemi che supportano i processi di business critici;
indagare sulla presenza di eventuali file non approvati o modifiche non autorizzate;
e) stabilire misure di protezione contro i rischi connessi all'ottenimento di file e software
da o tramite reti esterne o qualsiasi altro supporto;
f) installare e aggiornare regolarmente il software di rilevamento e di ripristino dal
malware per scansionare computer e supporti di memorizzazione elettronica.
Eseguire scansioni regolari che includano:
1) scansione, prima dell'uso, di ogni dato ricevuto attraverso reti o tramite qualsiasi
altra forma di supporto elettronico di memorizzazione, alla ricerca di malware;
2) scansione, prima dell'uso, degli allegati dei messaggi di posta elettronica e alla
messaggistica istantanea e dei download alla ricerca di malware. Effettuare
questa scansione in posti diversi (per esempio server di posta elettronica,
computer desktop) e quando si accede alla rete dell'organizzazione;
3) scansione, durante l'accesso, delle pagine web alla ricerca di malware;
g) determinare il posizionamento e la configurazione degli strumenti di rilevamento e
riparazione dal malware sulla base dei risultati della valutazione del rischio e
considerando:
1) i principi di difesa in profondità dove sarebbero più efficaci. Per esempio, ciò può
portare al rilevamento di malware in un gateway di rete (in vari protocolli
applicativi come email, trasferimento file e web) nonché gli endpoint degli utenti
e i server;
2) le tecniche evasive degli aggressori (per esempio l'uso di file cifrati) per fornire
malware o l'uso di protocolli di crittografia per trasmettere malware;
h) avere cura di proteggere dall'introduzione di malware durante le procedure di
manutenzione e di emergenza, che possono aggirare i normali controlli contro i
malware;
Tipo di controllo Proprietà di sicurezza delle Concetti di Capacità operative Domini di sicurezza
informazioni cybersecurity
#Preventive #Confidentiality #identify #Threat_and_vulnerability_management #Governance_and_Ecosystem
#Integrity #Protect #Protection #Defence
#Availability
Controllo
Si dovrebbero ottenere informazioni sulle vulnerabilità tecniche dei sistemi informativi in
uso, valutare l'esposizione dell'organizzazione a tali vulnerabilità e adottare misure
appropriate.
Finalità
Prevenire lo sfruttamento delle vulnerabilità tecniche.
Guida
Identificazione delle vulnerabilità tecniche
L'organizzazione dovrebbe disporre di un accurato inventario degli asset (vedere da 5.9 a
5.14) come prerequisito per un'efficace gestione tecnica delle vulnerabilità; l'inventario
dovrebbe includere il fornitore del software, il nome del software, le versioni, lo stato
attuale di distribuzione (per esempio quale software è installato su quali sistemi) e la(e)
persona(e) all'interno dell'organizzazione responsabile(i) del software.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Secure_configuration #Protection
#Integrity
#Availability
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Information_protection #Protection
#Legal_and_compliance
Controllo
Le informazioni memorizzate nei sistemi informatici, nei dispositivi o in qualsiasi altro
supporto di memorizzazione dovrebbero essere cancellate quando non sono più
necessarie.
Finalità
Prevenire l'esposizione non necessaria di informazioni sensibili e conformarsi ai requisiti
legali, statutari, normativi e contrattuali di cancellazione delle informazioni.
Guida
Generale
Al fine di ridurre il rischio di divulgazione indesiderata, le informazioni sensibili non
dovrebbero essere conservate più a lungo di quanto necessario.
Quando si eliminano informazioni su sistemi, applicazioni e servizi, si dovrebbe
considerare quanto segue:
a) selezionare un metodo di cancellazione (per esempio sovrascrittura elettronica o
cancellazione crittografica) in conformità con i requisiti di business e tenendo conto
delle leggi e dei regolamenti pertinenti;
b) registrare i risultati della cancellazione come prova;
c) quando si ricorre a fornitori di servizi di cancellazione delle informazioni, ottenere
dagli stessi prove della cancellazione delle informazioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di Capacità operative Domini di sicurezza
informazioni cybersecurity
#Preventive #Confidentiality #Protect #Information_protection #Protection
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Information_protection #Protection
#Detective #Detect #Defence
Controllo
Le misure di prevenzione di leakage dei dati dovrebbero essere applicate a sistemi, reti e
qualsiasi altro dispositivo che elabora, memorizza o trasmette informazioni sensibili.
Finalità
Rilevare e prevenire la divulgazione e l'estrazione non autorizzate di informazioni da parte
di individui o sistemi.
Guida
L'organizzazione dovrebbe considerare quanto segue per ridurre il rischio di leakage dei
dati:
a) identificare e classificare le informazioni per la protezione contro il leakage (per
esempio dati personali, modelli di prezzo e progetti dei prodotti);
b) monitoraggio dei canali di leakage dei dati (per esempio email, trasferimenti di file,
dispositivi mobili e dispositivi di memorizzazione portatili);
c) azioni per prevenire leakage delle informazioni (per esempio mettere in quarantena
email contenenti informazioni sensibili).
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Corrective #Integrity #Recover #Continuity #Protection
#Availability
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Availability #Protect #Continuity #Protection
#Asset_management #Resilience
Controllo
Le strutture di elaborazione delle informazioni dovrebbero essere attuate con una
ridondanza sufficiente a soddisfare i requisiti di disponibilità.
Finalità
Assicurare la continuità delle attività operative delle strutture di elaborazione delle
informazioni.
Guida
L'organizzazione dovrebbe identificare i requisiti per la disponibilità dei servizi di business
e dei sistemi informativi. L'organizzazione dovrebbe progettare e attuare un'architettura di
sistema con ridondanza adeguata per soddisfare questi requisiti.
La ridondanza può essere introdotta duplicando le strutture di elaborazione delle
informazioni in parte o nella loro interezza (per esempio componenti di scorta o avendone
due di tutto). L'organizzazione dovrebbe pianificare e attuare procedure per l'attivazione
dei componenti ridondanti e delle strutture di elaborazione. Le procedure dovrebbero
stabilire se i componenti ridondanti e le attività di elaborazione sono sempre attivate o, in
caso di emergenza, attivate automaticamente o manualmente. I componenti ridondanti e
le strutture di elaborazione delle informazioni dovrebbero assicurare lo stesso livello di
sicurezza di quelli primari.
Dovrebbero essere in atto meccanismi per avvisare l'organizzazione di qualsiasi
malfunzionamento nelle strutture di elaborazione delle informazioni, consentire
l'esecuzione della procedura pianificata e consentire la disponibilità continua mentre le
strutture di elaborazione delle informazioni vengono riparate o sostituite.
L'organizzazione dovrebbe considerare quanto segue durante l'attuazione di sistemi
ridondanti:
a) stipulare contratti con due o più fornitori di reti e strutture di elaborazione delle
informazioni critiche come i fornitori di servizi Internet;
b) utilizzare reti ridondanti;
c) utilizzare due data center geograficamente separati con sistemi replicati;
d) utilizzare alimentatori o fonti di alimentazione fisicamente ridondanti;
e) utilizzare più istanze parallele di componenti software, con bilanciamento automatico
del carico tra di esse (tra istanze nello stesso data centre o in data centre diversi);
f) avere componenti duplicati nei sistemi (per esempio CPU, hard disk, memorie) o
nelle reti (per esempio firewall, router, switch).
Ove applicabile, preferibilmente in produzione, i sistemi informativi ridondanti dovrebbero
essere testati per assicurare che il failover da un componente all'altro funzioni come
previsto.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Detective #Confidentiality #Detect #Information_security_event_management #Protection
#Integrity #Defence
#Availability
Controllo
I log che registrano attività, eccezioni, guasti e altri eventi significativi dovrebbero essere
prodotti, memorizzati, protetti e analizzati.
Finalità
Registrare eventi, generare prove, assicurare l'integrità delle informazioni di log, prevenire
l'accesso non autorizzato, identificare eventi relativi alla sicurezza delle informazioni che
possono portare a un incidente relativo alla sicurezza delle informazioni e supportare le
indagini.
Guida
Generale
L'organizzazione dovrebbe determinare le finalità per cui vengono creati i log, quali dati
vengono raccolti e registrati e qualsiasi requisito specifico per la protezione e il
trattamento dei dati di log. Questo dovrebbe essere documentato in una politica specifica
per i log.
I log degli eventi dovrebbero includere per ogni evento, a seconda dei casi:
a) ID utente;
b) attività di sistema;
c) date, orari e dettagli degli eventi significativi (per esempio log-on e log-off);
d) identità del dispositivo, identificatore di sistema e posizione;
e) indirizzi e protocolli di rete.
Per i log dovrebbero essere presi in considerazione i seguenti eventi:
a) tentativi riusciti e rifiutati di accesso ai sistemi;
b) tentativi riusciti e rifiutati di accesso a dati e altre risorse;
c) cambiamenti alla configurazione del sistema;
d) uso dei privilegi;
e) utilizzo di programmi e applicazioni di utilità;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Detective #Confidentiality #Detect #Information_security_event_management #Defence
#Corrective #Integrity #Respond
#Availability
Controllo
Reti, sistemi e applicazioni dovrebbero essere monitorati relativamente a comportamenti
anomali e dovrebbero essere intraprese azioni appropriate per valutare potenziali
incidenti relativi alla sicurezza delle informazioni.
Finalità
Rilevare comportamenti anomali e potenziali incidenti relativi alla sicurezza delle
informazioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Detective #Integrity #Protect #Information_security_event_management #Protection
#Detect #Defence
Controllo
Gli orologi dei sistemi di elaborazione delle informazioni utilizzati dall'organizzazione
dovrebbero essere sincronizzati con origini temporali approvate.
Finalità
Consentire la correlazione e l'analisi di eventi relativi alla sicurezza e altri dati registrati e
supportare le indagini sugli incidenti relativi alla sicurezza delle informazioni.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #System_and_network_security #Protection
#Integrity #Secure_configuration
#Availability #Application_security
Controllo
L'uso di programmi di utilità che possono essere in grado di ignorare i controlli del sistema
e delle applicazioni dovrebbe essere limitato e strettamente controllato.
Finalità
Assicurare che l'uso di programmi di utilità non danneggi i controlli dei sistemi e delle
applicazioni per la sicurezza delle informazioni.
Guida
Dovrebbero essere prese in considerazione le seguenti linee guida per l'uso di programmi
di utilità che possono essere in grado di ignorare i controlli dei sistemi e delle applicazioni:
a) uso dei programmi di utilità limitato al numero minimo pratico di utenti fidati e
autorizzati (vedere 8.2);
b) utilizzo di procedure di identificazione, autenticazione e autorizzazione dei
programmi di utilità, inclusa l'identificazione univoca della persona che utilizza il
programma di utilità;
c) definizione e documentazione dei livelli di autorizzazione per i programmi di utilità;
d) autorizzazione per l'utilizzo ad hoc di programmi di utilità;
e) non rendere disponibili programmi di utilità agli utenti che hanno accesso ad
applicazioni su sistemi dove è richiesta la separazione dei compiti;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Secure_configuration #Protection
#Integrity #Application_security
#Availability
Controllo
Dovrebbero essere attuate procedure e misure per gestire in modo sicuro l'installazione
del software sui sistemi in esercizio.
Finalità
Assicurare l'integrità dei sistemi in esercizio e prevenire lo sfruttamento delle vulnerabilità
tecniche.
Guida
Si dovrebbero considerare le seguenti linee guida per gestire in modo sicuro i
cambiamenti e l'installazione del software sui sistemi in esercizio:
a) eseguire gli aggiornamenti del software in uso solo da parte di amministratori formati
e previa apposita autorizzazione del management (vedere 8.5);
b) assicurare che sui sistemi in produzione sia installato solo codice eseguibile
approvato e non codice in fase di sviluppo o compilatori;
c) installare e aggiornare il software solo dopo test approfonditi e con esito positivo
(vedere 8.29 e 8.31);
d) aggiornare tutte le corrispondenti librerie di sorgenti di programma;
e) utilizzare un sistema di controllo della configurazione per mantenere il controllo di
tutto il software in esercizio e della documentazione relativa ai sistemi;
f) definire una strategia di rollback prima dell'attuazione dei cambiamenti;
g) mantenere un audit log di tutti gli aggiornamenti del software in esercizio;
h) archiviare le vecchie versioni del software, insieme a tutte le informazioni e parametri
richiesti, alle procedure, ai dettagli di configurazione e al software di supporto come
misura di emergenza, e per tutto il tempo in cui il software è necessario per leggere
o elaborare i dati archiviati.
Qualsiasi decisione di aggiornare a una nuova versione dovrebbe tenere conto dei
requisiti di business per il cambiamento e della sicurezza della versione (per esempio
l'introduzione di nuove funzionalità di sicurezza delle informazioni o il numero e la gravità
delle vulnerabilità relative alla sicurezza delle informazioni che interessano la versione
corrente). Le patch del software dovrebbero essere applicate quando possono aiutare a
rimuovere o ridurre le vulnerabilità relative alla sicurezza delle informazioni (vedere 8.8 e
8.19).
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #System_and_network_security #Protection
#Detective #Integrity #Detect
#Availability
Controllo
Le reti e i dispositivi di rete dovrebbero essere protetti, gestiti e controllati per proteggere
le informazioni nei sistemi e nelle applicazioni.
Finalità
Proteggere dalla compromissione tramite la rete le informazioni nelle reti e nelle strutture
di supporto di elaborazione delle informazioni.
Guida
Dovrebbero essere attuati controlli per assicurare la sicurezza delle informazioni nelle reti
e per proteggere i servizi connessi da accessi non autorizzati. In particolare vanno
considerati i seguenti elementi:
a) i tipi e i livelli di classificazione delle informazioni che la rete può supportare;
b) stabilire responsabilità e procedure per la gestione delle apparecchiature e dei
dispositivi di rete;
c) mantenere aggiornata la documentazione, inclusi gli schemi di rete e i file di
configurazione dei dispositivi (per esempio router, switch);
d) separare la responsabilità relativa all’esercizio delle reti dall’esercizio dei sistemi ICT
ove appropriato (vedere 5.3);
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #System_and_network_security #Protection
#Integrity
#Availability
Controllo
I meccanismi di sicurezza, i livelli di servizio e i requisiti dei servizi di rete dovrebbero
essere identificati, attuati e monitorati.
Finalità
Assicurare la sicurezza nell'uso dei servizi di rete.
Guida
Le misure di sicurezza necessarie per servizi particolari, come le caratteristiche di
sicurezza, i livelli di servizio e i requisiti di servizio, dovrebbero essere identificate e
attuate (da fornitori di servizi di rete interni o esterni). L'organizzazione dovrebbe
assicurare che i fornitori di servizi di rete attuino queste misure.
La capacità del fornitore di servizi di rete di gestire i servizi concordati in modo sicuro
dovrebbe essere determinata e monitorata regolarmente. Il diritto di audit dovrebbe
essere concordato tra l'organizzazione e il fornitore. L'organizzazione dovrebbe anche
prendere in considerazione le attestazioni di terze parti fornite dai fornitori di servizi per
dimostrare che mantengono adeguate misure di sicurezza.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #System_and_network_security #Protection
#Integrity
#Availability
Controllo
I gruppi di servizi informativi, di utenti e di sistemi informativi dovrebbero essere segregati
nelle reti dell'organizzazione.
Finalità
Dividere la rete in domini di sicurezza e controllare il traffico tra di loro in base alle
esigenze di business.
Guida
L'organizzazione dovrebbe prendere in considerazione la gestione della sicurezza delle
reti di grandi dimensioni suddividendole in domini di rete separati e separandoli dalla rete
pubblica (per esempio Internet). I domini possono essere scelti in base a livelli di fiducia,
criticità e sensibilità (per esempio dominio di accesso pubblico, dominio desktop, dominio
server, sistemi a basso e alto rischio), alle unità organizzative (per esempio risorse
umane, contabilità, marketing) o a una loro combinazione (per esempio dominio dei
server che si connettono a più unità organizzative). La segregazione può essere ottenuta
utilizzando reti fisicamente diverse o utilizzando reti logiche diverse.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #System_and_network_security #Protection
#Integrity
#Availability
Controllo
L'accesso a siti web esterni dovrebbe essere gestito per ridurre l'esposizione a contenuti
dannosi.
Finalità
Proteggere i sistemi in modo che non siano compromessi dal malware e impedire
l'accesso a risorse web non autorizzate.
Guida
L'organizzazione dovrebbe ridurre i rischi relativi all’accesso del proprio personale a siti
web che contengono informazioni illegali o che sono noti per contenere virus o materiale
di phishing. Una tecnica per ottenere ciò consiste nel blocco dell'indirizzo IP o del dominio
dei siti web interessati. Alcuni browser e tecnologie anti-malware lo fanno
automaticamente o possono essere configurati per farlo.
L'organizzazione dovrebbe identificare i tipi di siti web a cui il personale dovrebbe o non
dovrebbe avere accesso. L'organizzazione dovrebbe prendere in considerazione il blocco
degli accessi ai seguenti tipi di siti web:
a) siti web che hanno una funzione di caricamento delle informazioni se non consentiti
per validi motivi di business;
b) siti web dannosi noti o sospetti (per esempio quelli che distribuiscono malware o
contenuti di phishing);
c) server di comando e controllo;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Secure_configuration #Protection
#Integrity
#Availability
Controllo
Per l'uso efficace della crittografia dovrebbero essere definite e attuate regole, inclusa la
gestione delle chiavi crittografiche.
Finalità
Assicurare un uso corretto ed efficace della crittografia per proteggere la riservatezza,
l'autenticità o l'integrità delle informazioni in base ai requisiti di business e di sicurezza
delle informazioni e tenendo conto dei requisiti legali, statutari, normativi e contrattuali
relativi alla crittografia.
Guida
Generale
Quando si utilizza la crittografia, si dovrebbe considerare quanto segue:
a) la politica specifica per la crittografia definita dall'organizzazione, inclusi i principi
generali per la protezione delle informazioni. È necessaria una politica specifica per
l'uso della crittografia per massimizzare i benefici e ridurre al minimo i rischi con l'uso
di tecniche crittografiche ed evitare un uso inappropriato o scorretto;
b) identificare il livello di protezione richiesto e la classificazione delle informazioni e
conseguentemente stabilire il tipo, la robustezza e la qualità degli algoritmi
crittografici richiesti;
c) l'uso della crittografia per la protezione delle informazioni conservate sugli endpoint
mobili degli utenti o nei supporti di memorizzazione e trasmesse su reti a tali
dispositivi o supporti di memorizzazione;
d) l'approccio alla gestione delle chiavi, comprese le modalità per gestire la
generazione e protezione delle chiavi crittografiche e il recupero delle informazioni
cifrate in caso di chiavi perse, compromesse o danneggiate;
e) ruoli e responsabilità per:
1) l'attuazione delle regole per l'uso efficace della crittografia;
2) la gestione delle chiavi, inclusa la generazione delle chiavi (vedi 8.24);
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Application_security #Protection
#Integrity #System_and_network_security
#Availability
Controllo
Dovrebbero essere stabilite e applicate regole per lo sviluppo sicuro di software e sistemi.
Finalità
Assicurare che la sicurezza delle informazioni sia progettata e attutata all'interno del ciclo
di vita dello sviluppo sicuro di software e sistemi.
Guida
Lo sviluppo sicuro è un requisito per creare un servizio, un'architettura, un software e un
sistema sicuri. Per raggiungere questo obiettivo, si dovrebbero considerare i seguenti
aspetti:
a) separazione degli ambienti di sviluppo, test e produzione (vedere 8.31);
b) fornitura di guide sulla sicurezza nel ciclo di vita dello sviluppo del software:
1) sicurezza nella metodologia di sviluppo del software (vedere 8.28 e 8.27);
2) linee guida per la codifica sicura per ogni linguaggio di programmazione
utilizzato (vedere 8.28);
c) requisiti di sicurezza in fase di specifica e progettazione (vedere 5.8);
d) verifiche di sicurezza nel corso dei progetti (vedere 5.8);
e) test di sistema e di sicurezza, come test di regressione, scansione del codice e
penetration test (vedere 8.29);
f) archivi sicuri per il codice sorgente e le configurazioni (vedere 8.4 e 8.9);
g) sicurezza nel controllo delle versioni (vedere 8.32);
h) conoscenze e formazione richieste e relative alla sicurezza delle applicazioni
(vedere 8.28);
i) capacità degli sviluppatori di prevenire, trovare e correggere le vulnerabilità (vedere
8.28);
j) requisiti di licenza e alternative per assicurare la scelta di soluzioni convenienti
evitando al contempo problemi futuri in materia di licenze (vedere 5.32).
Se lo sviluppo è esternalizzato, l'organizzazione dovrebbe ottenere l'assicurazione che il
fornitore è conforme alle regole dell'organizzazione per lo sviluppo sicuro (vedere 8.30).
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Application_security #Protection
#Integrity #System_and_network_security #Defence
#Availability
Controllo
I requisiti di sicurezza delle informazioni devono essere identificati, specificati e approvati
durante lo sviluppo o l'acquisizione di applicazioni.
Finalità
Assicurare che tutti i requisiti di sicurezza delle informazioni siano identificati e affrontati
durante lo sviluppo o l'acquisizione di applicazioni.
Guida
Generale
I requisiti di sicurezza delle applicazioni dovrebbero essere identificati e specificati. Questi
requisiti sono generalmente determinati attraverso una valutazione del rischio. I requisiti
dovrebbero essere sviluppati con il supporto di specialisti della sicurezza delle informazioni.
I requisiti di sicurezza delle applicazioni possono coprire un'ampia gamma di argomenti, a
seconda delle finalità delle applicazioni.
I requisiti di sicurezza delle applicazioni dovrebbero includere, a seconda dei casi:
a) livello di fiducia nell'identità delle entità [per esempio tramite autenticazione (vedere
5.17, 8.2 e 8.5)];
b) identificare il tipo di informazioni e il livello di classificazione che dovrebbero essere
trattati dall’applicazione;
c) necessità di separazione degli accessi e livello di accesso ai dati e alle funzioni nelle
applicazioni;
d) resilienza contro attacchi dannosi o interruzioni non intenzionali [per esempio
protezione da buffer overflow o structured query language (SQL) injections];
e) requisiti legali, statutari e regolamentari nella giurisdizione in cui la transazione è
generata, elaborata, completata o memorizzata;
f) necessità di privacy associata a tutte le parti coinvolte;
g) i requisiti di protezione di eventuali informazioni riservate;
h) protezione dei dati in corso di elaborazione, in transito o a riposo;
i) necessità di crittografare in modo sicuro le comunicazioni tra tutte le parti coinvolte;
j) controlli sugli input, compresi i controlli di integrità e la convalida degli input;
k) controlli automatizzati (per esempio limiti di approvazione o doppia approvazione);
l) controlli sugli output, anche in considerazione di chi può accedere agli output e della
relativa autorizzazione;
m) limitazioni sul contenuto dei campi "testo libero", in quanto possono portare alla
memorizzazione incontrollata di dati riservati (per esempio dati personali);
n) i requisiti derivati dal processo di business, come la registrazione e il monitoraggio
delle transazioni, i requisiti di non ripudio;
o) requisiti imposti da altri controlli per la sicurezza (per esempio interfacce per sistemi
di registrazione e monitoraggio o rilevamento di fughe di dati);
p) gestione dei messaggi di errore.
Tipo di controllo Proprietà di sicurezza delle Concetti di Capacità operative Domini di sicurezza
informazioni cybersecurity
#Preventive #Confidentiality #Protect #Application_security #Protection
#Integrity #System_and_network_security
#Availability
Controllo
I principi per l'ingegnerizzazione di sistemi sicuri dovrebbero essere stabiliti, documentati,
mantenuti e applicati a qualsiasi attività di sviluppo dei sistemi informativi.
Finalità
Assicurare che i sistemi informativi siano progettati, attuati e gestiti in modo sicuro
durante il ciclo di vita dello sviluppo.
Guida
I principi di ingegnerizzazione sicura dovrebbero essere stabiliti, documentati e applicati
alle attività di ingegnerizzazione dei sistemi informativi. La sicurezza dovrebbe essere
progettata in tutti i livelli dell'architettura (business, dati, applicazioni e tecnologia). Una
nuova tecnologia dovrebbe essere analizzata in merito ai rischi relativi alla sicurezza e il
progetto dovrebbe essere riesaminato rispetto ai modelli di attacco noti.
I principi di ingegnerizzazione sicura forniscono indicazioni sulle tecniche di
autenticazione degli utenti, sul controllo di sessione sicura e sulla convalida e
sanitizzazione dei dati.
I principi di ingegnerizzazione sicura dei sistemi dovrebbero includere l'analisi di:
a) l'intera gamma di controlli per la sicurezza necessari per proteggere le informazioni
e i sistemi dalle minacce identificate;
b) le capacità dei controlli per la sicurezza di prevenire, rilevare o rispondere a eventi
relativi alla sicurezza;
c) specifici controlli per la sicurezza richiesti da particolari processi di business (per
esempio crittografia di informazioni sensibili, verifica dell'integrità e firma digitale
delle informazioni);
d) dove e come dovrebbero essere applicati i controlli per la sicurezza (per esempio
integrandosi con un'architettura di sicurezza e con l'infrastruttura tecnica);
e) come interagiscono i singoli controlli per la sicurezza (manuali e automatizzati) per
produrre un insieme integrato di controlli.
I principi di ingegnerizzazione sicura dovrebbero tenere conto di:
a) la necessità di integrarsi con un'architettura di sicurezza;
b) infrastruttura di sicurezza tecnica [per esempio infrastruttura a chiave pubblica (PKI),
gestione delle identità e degli accessi (IAM), prevenzione della fuga di dati e
gestione dinamica degli accessi];
c) capacità dell'organizzazione di sviluppare e supportare la tecnologia scelta;
d) costo, tempo e complessità per soddisfare i requisiti di sicurezza;
e) le attuali buone pratiche.
L’ingegnerizzazione sicura dei sistemi dovrebbe comprendere:
a) l'uso dei principi relativi alla sicurezza dell'architettura, come "sicurezza fin dalla
progettazione", "difesa in profondità", "sicurezza per impostazione predefinita",
"divieto predefinito", "fail securely", " diffidare degli input provenienti da applicazioni
esterne", "sicurezza nello sviluppo”, “supporre una violazione”, “privilegio minimo”,
“usabilità e gestibilità” e “funzionalità minima”;
b) un riesame della progettazione orientata alla sicurezza per aiutare a identificare le
vulnerabilità relative alla sicurezza delle informazioni, assicurare che i controlli per la
sicurezza siano specificati e soddisfino i requisiti di sicurezza;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Application_security #Protection
#Integrity #System_and_network_security
#Availability
Controllo
I principi di sviluppo sicuro dovrebbero essere applicati allo sviluppo del software.
Finalità
Assicurare che il software sia scritto in modo sicuro, riducendo così il numero di potenziali
vulnerabilità del software relative alla sicurezza delle informazioni.
Guida
Generale
L'organizzazione dovrebbe stabilire processi a livello di organizzazione per fornire un
buona governance dello sviluppo sicuro. Dovrebbe essere stabilita e applicata una
baseline minima di sicurezza. Inoltre, tali processi e governance dovrebbero essere estesi
per coprire i componenti software di terze parti e il software open source.
L'organizzazione dovrebbe monitorare le minacce del mondo reale e gli avvisi e le
informazioni aggiornate sulle vulnerabilità del software per guidare i principi di sviluppo
sicuro dell'organizzazione attraverso il miglioramento e l'apprendimento continuo. Ciò può
aiutare ad assicurare l'attuazione di pratiche di sviluppo sicuro efficaci per combattere il
panorama delle minacce in rapida evoluzione.
Progettazione e prima dello sviluppo
I principi di sviluppo sicuro dovrebbero essere utilizzati nel caso sia di nuovi sviluppi sia di
riutilizzo. Questi principi dovrebbero essere applicati alle attività di sviluppo sia all'interno
dell'organizzazione sia per prodotti e servizi forniti dall'organizzazione ad altri. La
pianificazione e i prerequisiti prima dello sviluppo dovrebbero includere:
a) aspettative specifiche dell'organizzazione e principi approvati per lo sviluppo sicuro
da utilizzare sia per lo sviluppo del codice interno sia per quello esterno;
b) pratiche e difetti di sviluppo comuni e storici che portano a vulnerabilità relative alla
sicurezza delle informazioni;
c) configurazione di strumenti di sviluppo, come ambienti di sviluppo integrati (IDE), per
aiutare a rafforzare la creazione di codice sicuro;
d) seguire le linee guida emesse dai fornitori di strumenti, a seconda dei casi, di
sviluppo e di ambienti di esecuzione;
e) manutenzione e utilizzo di strumenti di sviluppo aggiornati (per esempio
compilatori);
f) qualifica degli sviluppatori nella scrittura di codice sicuro;
g) progettazione e architettura sicure, compresa la modellazione delle minacce;
h) standard di sviluppo sicuro e, se del caso, imporre il loro uso;
i) utilizzo di ambienti controllati per lo sviluppo.
Durante lo sviluppo
Le considerazioni durante lo sviluppo dovrebbero includere:
a) pratiche di sviluppo sicuro specifiche per i linguaggi e le tecniche di programmazione
utilizzati;
b) utilizzare tecniche di programmazione sicure, come il pair programming, il
refactoring, il riesame tra pari, le iterazioni di sicurezza e lo sviluppo basato su test;
c) utilizzare tecniche di programmazione strutturata;
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #Application_security #Protection
#Integrity #Information_security_assurance
#Availability #System_and_network_security
Controllo
I processi di test di sicurezza dovrebbero essere definiti e attuati nel ciclo di vita dello
sviluppo.
Finalità
Convalidare se i requisiti di sicurezza delle informazioni sono soddisfatti quando le
applicazioni o il codice vengono distribuiti nell'ambiente di produzione.
Guida
Nuovi sistemi informativi, aggiornamenti e nuove versioni dovrebbero essere testati e
verificati a fondo durante i processi di sviluppo. I test di sicurezza dovrebbero essere parte
integrante dei test per i sistemi o i componenti.
I test di sicurezza dovrebbero essere condotti rispetto a una serie di requisiti, che possono
essere espressi come funzionali o non funzionali. I test di sicurezza dovrebbero includere
i test di:
a) funzioni di sicurezza, [per esempio autenticazione dell'utente (vedere 8.5),
limitazione degli accessi (vedere 8.3) e uso della crittografia (vedere 8.24)];
b) codifica sicura (vedere 8.28);
c) configurazioni sicure (vedere 8.9, 8.20 e 8.22) incluse quelle dei sistemi operativi,
dei firewall e degli altri componenti di sicurezza.
I piani di test dovrebbero essere determinati utilizzando una serie di criteri. L'estensione
dei test dovrebbe essere proporzionata all'importanza, alla natura del sistema e al
potenziale impatto del cambiamento introdotto. Il piano di test dovrebbe includere:
a) programma dettagliato delle attività e dei test;
b) input e output attesi in una serie di condizioni;
c) criteri di valutazione dei risultati;
d) decisione per ulteriori azioni se necessario.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Identify #System_and_network_security #Governance_and_Ecosystem
#Detective #Integrity #Protect #Detect #Application_security #Protection
#Availability #Supplier_relationships_security
Controllo
L'organizzazione dovrebbe dirigere, monitorare e riesaminare le attività di sviluppo dei
sistemi affidate all’esterno.
Finalità
Assicurare che le misure di sicurezza delle informazioni richieste dall'organizzazione
siano attuate nello sviluppo dei sistemi affidato all’esterno.
Guida
Laddove lo sviluppo dei sistemi è esternalizzato, l'organizzazione dovrebbe comunicare e
concordare i requisiti e le aspettative e monitorare e riesaminare continuamente se la
consegna del lavoro affidato all’esterno soddisfa queste aspettative. I seguenti punti
dovrebbero essere considerati lungo l'intera filiera di fornitura esterna rispetto
all'organizzazione:
a) accordi di licenza, proprietà del codice e diritti di proprietà intellettuale relativi ai
contenuti esternalizzati (vedere 5.32);
b) requisiti contrattuali per le attività di progettazione, codifica e collaudo sicure (vedere
da 8.25 a 8.29);
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Application_security #Protection
#Integrity #System_and_network_security
#Availability
Controllo
Gli ambienti di sviluppo, test e produzione dovrebbero essere separati e protetti.
Finalità
Proteggere l'ambiente e i dati di produzione da compromissioni causate da attività di
sviluppo e test.
Guida
Dovrebbe essere identificato e attuato il livello di separazione tra gli ambienti di
produzione, test e sviluppo necessario per prevenire problemi in produzione.
Dovrebbero essere considerati i seguenti elementi:
a) separare adeguatamente i sistemi di sviluppo e di produzione e farli funzionare in
domini distinti (per esempio in ambienti fisici o virtuali separati);
b) definire, documentare e attuare regole e autorizzazioni per il rilascio del software
dallo sviluppo alla produzione;
c) testare i cambiamenti ai sistemi di produzione e alle applicazioni in un ambiente di
test o di staging prima della loro applicazione ai sistemi di produzione (vedere 8.29);
d) non effettuare test in ambienti di produzione se non in circostanze già definite ed
approvate;
e) non lasciare a disposizione compilatori, editor e altri strumenti di sviluppo o
programmi di utilità sui sistemi di produzione quando non richiesti;
f) per ridurre il rischio di errore, esporre idonee etichette di identificazione
dell'ambiente nei menu;
g) non copiare informazioni sensibili negli ambienti di sviluppo e di test, a meno che
non siano previsti controlli equivalenti a quelli di produzione.
Tipo di controllo Proprietà di sicurezza delle Concetti di cybersecurity Capacità operative Domini di sicurezza
informazioni
#Preventive #Confidentiality #Protect #Application_security #Protection
#Integrity #System_and_network_security
#Availability
Controllo
I cambiamenti alle strutture di elaborazione delle informazioni e ai sistemi informativi
dovrebbero essere soggetti a procedure di gestione dei cambiamenti.
Tipo di controllo Proprietà di sicurezza delle Concetti di Capacità operative Domini di sicurezza
informazioni cybersecurity
#Preventive #Confidentiality #Protect #Information_protection #Protection
#Integrity
Tipo di controllo Proprietà di sicurezza delle Concetti di Capacità operative Domini di sicurezza
informazioni cybersecurity
#Preventive #Confidentiality #Protect #System_and_network_security #Governance_and_Ecosystem
#Integrity #Information_protection #Protection
#Availability
Controllo
I test di audit e le altre attività di garanzia che prevedono la valutazione dei sistemi di
produzione dovrebbero essere pianificati e concordati tra chi li effettua e l’appropriato
livello manageriale.
Finalità
Minimizzare l'impatto delle attività di audit e delle altre attività di garanzia sui sistemi di
produzione e sui processi di business.
Guida
Si dovrebbero osservare le seguenti linee guida:
a) concordare le richieste di audit per l'accesso ai sistemi e ai dati con l’appropriato
livello manageriale;
b) concordare e controllare l'ambito dei test tecnici di audit;
c) limitare i test di audit all'accesso in sola lettura a software e dati. Se l'accesso in sola
lettura non è sufficiente a ottenere le informazioni necessarie, far eseguire il test da
un amministratore esperto che disponga dei diritti di accesso necessari per conto
dell’auditor;
A.1 Generale
Questa appendice fornisce un prospetto per dimostrare l'uso degli attributi come un modo
per creare viste diverse dei controlli. I cinque esempi di utilizzo di questi attributi (vedere
4.2) sono i seguenti:
a) Tipi di controllo (#Preventive, #Detective, #Corrective)
b) Proprietà di sicurezza delle informazioni (#Confidentiality, #Integrity, #Availability)
c) Concetti di cybersecurity (#Identify, #Protect, #Detect, #Respond, #Recover)
d) Capacità operative (#Governance, #Asset_management, #Information_protection,
#Human_resource_security, #Physical_security, #System_and_network_security,
#Application_security, #Secure_configuration, #Identity_and_access_management,
#Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security,
#Legal_and_compliance, #Information_security_event_management,
#Information_security_assurance
e) Domini di sicurezza (#Governance_and_Ecosystem, #Protection, #Defence,
#Resilience)
Il prospetto A.1 riporta una matrice di tutti i controlli di questo documento con i valori di
attributo assegnati.
Un filtro od ordinamento della matrice può essere ottenuto utilizzando uno strumento
come un semplice foglio di calcolo o un database, che può contenere più informazioni
quali il testo relativo al controllo, le linee guida, le linee guida specifiche
dell'organizzazione o gli attributi specifici dell'organizzazione (vedere A.2).
La tabella A.2 mostra un esempio di come creare una vista filtrando in base a un
particolare valore di attributo, in questo caso #Correttiva.
La presente Norma è stata compilata dal Comitato Elettrotecnico Italiano e beneficia del
riconoscimento di cui alla legge 1° Marzo 1968, n. 186.
Editore CEI, Comitato Elettrotecnico Italiano, Milano vP-wyV
Stampa in proprio
Autorizzazione del Tribunale di Milano N. 4093 del 24 Luglio 1956
Direttore Responsabile: Ing. G. Molina
156
Via Saccardo, 9
20134 Milano
Tel. 02.21006.1
Fax 02.21006.210
cei@ceinorme.it
www.ceinorme.it