@@ -21,13 +21,15 @@ controlli per evitare violazioni a tali requisiti.
...
@@ -21,13 +21,15 @@ controlli per evitare violazioni a tali requisiti.
Il GARR si è dotato di un *Sistema di Gestione della Sicurezza delle informazioni* (SGSI),
Il GARR si è dotato di un *Sistema di Gestione della Sicurezza delle informazioni* (SGSI),
per attuare una *Politica per Sicurezza delle Informazioni* con i seguenti obiettivi:
per attuare una *Politica per Sicurezza delle Informazioni* con i seguenti obiettivi:
- garantire la riservatezza e impedire l’alterazione o la perdita del patrimonio informativo;
- I dati devono essere sottoposti a backup su base regolare, protetti da accessi non autorizzati o modifiche durante l'archiviazione e disponibili per essere recuperati tempestivamente nell'evento di incidente o disastro;
- soddisfare i requisiti espliciti ed impliciti degli utilizzatori dei servizi e delle parti interessate;
- tecniche di crittografia devono essere utilizzate per proteggere i dati sensibili durante la trasmissione e stoccaggio;
- formazione, coinvolgimento e partecipazione attiva di tutto il personale affinché svolga con responsabilità il proprio ruolo nell’attuazione e nel miglioramento continuo della Politica per la Sicurezza delle Informazioni;
- meccanismi di rilevamento degli incidenti devono essere implementati per tutti i sistemi IT;
- migliorare l’efficienza, la ripetibilità, l’affidabilità e le prestazioni di tutti i processi, adottando procedure possibilmente automatiche;
- devono essere applicate le patch di sicurezza e devono essere implementati i processi di gestione delle vulnerabilità sulle risorse IT;
- effettuare un’analisi dei rischi basata su indici e indicatori con i quali monitorare periodicamente l’adeguatezza e l’efficacia dei processi in uso;
- è necessario registrare eventi chiave relativi alla sicurezza, come le modifiche ai privilegi degli utenti, al fine di identificare potenziali attività non autorizzate e facilitare azioni di follow-up appropriate;
- rilevare e a tracciare gli eventi anomali, gli incidenti e le vulnerabilità dei sistemi informativi;
- qualsiasi modifica ai sistemi in uso presso il GARR deve essere registrata e valutata per la sicurezza e l'impatto sul rischio;
- limitare l’incidenza e l’impatto delle minacce relative alla sicurezza delle informazioni;
- le applicazioni Web relative ai servizi GARR devono essere progettate, costruite e verificate per garantire che la sicurezza sia applicata a tutti i livelli dell'applicazione e dello stack tecnologico;
- conformità con i requisiti di legge e rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
- le strutture in cui sono conservate o elaborate informazioni critiche, devono essere costruite e disposte in modo tale che i dati siano adeguatamente protetti da minacce fisiche ed ambientali;
- conformità del SGSI con le norme di riferimento UNI EN ISO 27001:2013, ISO 27017:2015, ISO 27018:2019, alle normative relative alla privacy, in particolare alla GDPR e alle norme di settore;
- l'architettura di rete deve essere commisurata ai requisiti delle attività attuali e future, nonché alle minacce alla sicurezza;
- adottare il principio dei diritti minimi necessari per ogni specifica finalità del trattamento.
- i rischi relativi alla sicurezza delle informazioni devono essere identificati, mitigati e monitorati attraverso un processo formalizzato di gestione del rischio;
- tutti gli utenti che hanno accesso alle reti, ai sistemi e ai servizi IT di GARR devono aderire regole specifiche riguardanti l'uso delle risorse.
