From 2c36941f142ce6a3295d3e2573464baff850ed47 Mon Sep 17 00:00:00 2001 From: Claudio Pisa <claudio.pisa@garr.it> Date: Mon, 26 Jun 2023 17:00:52 +0200 Subject: [PATCH] aggiornamento estratto SGSI --- .../politica-sicurezza-informazioni.rst | 22 ++++++++++--------- 1 file changed, 12 insertions(+), 10 deletions(-) diff --git a/web/compliance/politica-sicurezza-informazioni.rst b/web/compliance/politica-sicurezza-informazioni.rst index 336f7408..d4ceb787 100644 --- a/web/compliance/politica-sicurezza-informazioni.rst +++ b/web/compliance/politica-sicurezza-informazioni.rst @@ -21,13 +21,15 @@ controlli per evitare violazioni a tali requisiti. Il GARR si è dotato di un *Sistema di Gestione della Sicurezza delle informazioni* (SGSI), per attuare una *Politica per Sicurezza delle Informazioni* con i seguenti obiettivi: -- garantire la riservatezza e impedire l’alterazione o la perdita del patrimonio informativo; -- soddisfare i requisiti espliciti ed impliciti degli utilizzatori dei servizi e delle parti interessate; -- formazione, coinvolgimento e partecipazione attiva di tutto il personale affinché svolga con responsabilità il proprio ruolo nell’attuazione e nel miglioramento continuo della Politica per la Sicurezza delle Informazioni; -- migliorare l’efficienza, la ripetibilità , l’affidabilità e le prestazioni di tutti i processi, adottando procedure possibilmente automatiche; -- effettuare un’analisi dei rischi basata su indici e indicatori con i quali monitorare periodicamente l’adeguatezza e l’efficacia dei processi in uso; -- rilevare e a tracciare gli eventi anomali, gli incidenti e le vulnerabilità dei sistemi informativi; -- limitare l’incidenza e l’impatto delle minacce relative alla sicurezza delle informazioni; -- conformità con i requisiti di legge e rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti; -- conformità del SGSI con le norme di riferimento UNI EN ISO 27001:2013, ISO 27017:2015, ISO 27018:2019, alle normative relative alla privacy, in particolare alla GDPR e alle norme di settore; -- adottare il principio dei diritti minimi necessari per ogni specifica finalità del trattamento. +- I dati devono essere sottoposti a backup su base regolare, protetti da accessi non autorizzati o modifiche durante l'archiviazione e disponibili per essere recuperati tempestivamente nell'evento di incidente o disastro; +- tecniche di crittografia devono essere utilizzate per proteggere i dati sensibili durante la trasmissione e stoccaggio; +- meccanismi di rilevamento degli incidenti devono essere implementati per tutti i sistemi IT; +- devono essere applicate le patch di sicurezza e devono essere implementati i processi di gestione delle vulnerabilità sulle risorse IT; +- è necessario registrare eventi chiave relativi alla sicurezza, come le modifiche ai privilegi degli utenti, al fine di identificare potenziali attività non autorizzate e facilitare azioni di follow-up appropriate; +- qualsiasi modifica ai sistemi in uso presso il GARR deve essere registrata e valutata per la sicurezza e l'impatto sul rischio; +- le applicazioni Web relative ai servizi GARR devono essere progettate, costruite e verificate per garantire che la sicurezza sia applicata a tutti i livelli dell'applicazione e dello stack tecnologico; +- le strutture in cui sono conservate o elaborate informazioni critiche, devono essere costruite e disposte in modo tale che i dati siano adeguatamente protetti da minacce fisiche ed ambientali; +- l'architettura di rete deve essere commisurata ai requisiti delle attività attuali e future, nonché alle minacce alla sicurezza; +- i rischi relativi alla sicurezza delle informazioni devono essere identificati, mitigati e monitorati attraverso un processo formalizzato di gestione del rischio; +- tutti gli utenti che hanno accesso alle reti, ai sistemi e ai servizi IT di GARR devono aderire regole specifiche riguardanti l'uso delle risorse. + -- GitLab