Upload
doanque
View
215
Download
0
Embed Size (px)
Citation preview
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
1
POLICY DI SICUREZZA INFORMATICA
Approvato dal C.d.A. in data 9 Maggio 2018
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
2
Sommario Premessa ................................................................................................................ 3
Art 1 - Information Security .................................................................................. 4
Art 2 - Scopo ed ambito della sicurezza ................................................................ 4
Art 3 - Sistema per la gestione della sicurezza informatica .................................. 5
Art 4 - Misure di prevenzione ................................................................................. 7
Art 5 - Modalità di accesso ed utilizzo ................................................................... 8
Art 6 – Protezione dei dati e delle informazioni .................................................... 9
Art 7 - Sicurezza e fornitori esterni di servizi ...................................................... 10
Art 8 - Conformità (compliance) .......................................................................... 11
Art 9 - Tracciamento e monitoraggio ................................................................... 11
Art 10 - Comunicazione del Regolamento di Information Security .................... 12
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
3
Premessa
La protezione del patrimonio di dati e informazioni rappresenta un'esigenza di grande
rilevanza a livello operativo; la Policy di Sicurezza Informatica definisce i principi su cui
si basa la sicurezza logica e costituisce la guida per ottenerne la riservatezza, l'integrità e la
disponibilità.
La Policy:
si ispira ai requisiti di sicurezza indicati negli standard internazionali di riferimento, ad
oggi ISO/IEC_27001;
è conforme ai principi ed alle linee guida in materia di sicurezza informatica definiti nella
Circolare Banca d'Italia n. 285 del 17 dicembre 2013 e nei successivi aggiornamenti (di
seguito Circolare 285), nonché nelle ulteriori disposizioni impartite dagli organismi di
vigilanza e controllo.
Si definisce:
dato - una conoscenza elementare; può essere conservato e manipolato da un
computer ("elaborato");
informazione - un insieme di dati "elaborati", che hanno un senso compiuto per gli
utilizzatori;
archivio - un insieme di dati registrati su un supporto di memorizzazione, generalmente
fisico ("file" in inglese);
procedura applicativa - l'insieme di strumenti (programmi software, archivi, modalità
operative, etc.) che permettono di gestire in modo informatico i dati e le informazioni di
un determinato settore o area aziendale;
utente responsabile - la figura identificata per ciascun sistema o applicazione e che
assume responsabilità specifiche in vari ambiti dei processi IT (a titolo esemplificativo:
gestione dei cambiamenti delle applicazioni, valutazione del rischio informatico, gestione
dei dati).
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
4
Art 1 - Information Security
Le informazioni e le risorse informatiche costituiscono un patrimonio aziendale rilevante la
cui sicurezza deve rappresentare un'attenzione costante per il personale a tutti i livelli.
Art 2 - Scopo ed ambito della sicurezza
La Policy di Sicurezza Informatica consiste in un insieme di principi di prevenzione e
protezione, di carattere tecnico, operativo e organizzativo, atto a ridurre a livelli accettabili i
rischi di eventi che possono compromettere:
- riservatezza,
- integrità,
- disponibilità,
delle informazioni, delle risorse informatiche a supporto dei processi e dei servizi di
business aziendali (c.d. "incidenti informatici").
La Policy indirizza pertanto il raggiungimento dei seguenti obiettivi di sicurezza:
- proteggere i dati e le informazioni contro i rischi di:
indebita divulgazione (riservatezza),
modifica non autorizzata, intenzionale o accidentale (integrità),
impedimenti all'accesso quando necessario (disponibilità);
secondo il principio della proporzionalità, in base alle risultanze dell'analisi dei rischi
connessi all'utilizzo delle risorse informatiche, e in linea con la propensione al rischio
informatico definito;
- garantire, ove necessario, la verificabilità e l'accountability degli eventi legati al
trattamento delle informazioni;
- contribuire alla conformità dei sistemi informativi alle norme e regolamenti interni ed
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
5
esterni applicabili.
L'ambito di applicazione della Policy riguarda:
le risorse: le informazioni, il software, l'hardware e gli ambienti fisici (limitatamente ai
requisiti di protezione) in cui le risorse sono ubicate,
i processi informatici: l'intero ciclo di produzione (esercizio dei sistemi) e l'intero ciclo
di sviluppo e di acquisizione del software e dell'hardware,
gli utenti dei sistemi informativi: i servizi centralizzati di Direzione, il personale, le
reti commerciali, i clienti, i fornitori e gli interlocutori esterni che interagiscono con i
sistemi informatici (limitatamente alla parte di interazione).
Art 3 - Sistema per la gestione della sicurezza informatica
Il sistema per la gestione della sicurezza informatica comprende l'insieme:
delle norme,
dei processi e delle procedure,
delle tecnologie,
atte a prevenire, contrastare ed eventualmente reagire alle minacce portate agli asset
aziendali (sia tangibili come i beni, sia intangibili come le informazioni) lungo il loro ciclo di
vita, e mantenere il livello di sicurezza in linea con la propensione al rischio informatico
definito.
Il sistema per la gestione della sicurezza informatica è strutturato in:
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
6
Policy di Sicurezza Informatica: fornisce i principi cui attenersi per il governo della
Information Security. E' costituita dal presente documento;
organizzazione dei processi: è costituita principalmente da:
o governo ed amministrazione della sicurezza logica,
o governo ed amministrazione della sicurezza fisica,
o presidio dei malfunzionamenti e della business continuity.
Sono inoltre adottati modelli organizzativi per la gestione ed il controllo delle
normative inerenti alla sicurezza di informazioni e risorse informatiche;
analisi e valutazione dei rischi: sono adottati metodologia e strumenti per l'analisi
della sicurezza dei sistemi informativi rispetto ai rischi potenziali insiti nel trattamento
delle informazioni (c.d. "risk assessment") e per ricercare eventuali vulnerabilità della
sicurezza dei sistemi informatici utilizzati (c.d. "vulnerability assessment");
misure implementative della sicurezza: sono costituite principalmente da:
o Sicurezza Fisica: insieme di congegni, apparecchiature e procedure operative per
la sicurezza delle risorse informatiche e dei locali ove queste sono ubicate;
o Sicurezza Logica: insieme delle procedure, sistemi software, tecnologie ed
apparati per garantire riservatezza, integrità e disponibilità dei dati;
o Business Continuity: insieme delle soluzioni organizzative e tecnologiche per la
continuità del business aziendale;
misurazioni e controlli di sicurezza: sono adottati con l'obiettivo di verificare:
o la coerenza tra le misure implementative della sicurezza con i regolamenti interni
e le procedure operative;
o l'efficacia delle misure implementative della sicurezza;
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
7
attività di comunicazione, formazione e sensibilizzazione in materia di
sicurezza: sono svolte secondo le linee di indirizzo definite nella Policy in relazione alle
diverse classi di utenti interessati, al fine di sviluppare e mantenere la cultura della
sicurezza a tutti i livelli.
Art 4 - Misure di prevenzione
L'information security attribuisce importanza alla prevenzione degli incidenti informatici
attraverso:
- l'emanazione di manuali operativi contenenti principi e regole comportamentali
finalizzati a ridurre il rischio che l'utilizzo di dati, informazioni, strumenti, sistemi e lo
sviluppo delle applicazioni informatiche non siano conformi con gli obiettivi di sicurezza
definiti; lo sviluppo sicuro delle applicazioni aziendali è inoltre indirizzato mediante
metodologie specifiche. A tali principi, regole e metodologie è soggetto tutto il personale
interno e quello esterno all'azienda che utilizza le tecnologie informatiche;
- la sensibilizzazione e la formazione del personale interno su tematiche di information
security e su policy e normative di interesse specifico,
- l'adozione delle migliori soluzioni per ridurre al minimo livello accettato i rischi di
incidenti informatici e l'uso fraudolento o non autorizzato dei sistemi,
- la revisione periodica delle modalità di implementazione del sistema di sicurezza (attività
così detta di "assessment"),
- la valutazione degli aspetti relativi alla sicurezza in tutti i processi di management
Technology (System Management, Application, Change, Procurement, ecc.),
- l’analisi periodica del livello di sicurezza dei sistemi informativi rispetto ai rischi potenziali
insiti nel trattamento delle informazioni (attività così detta di ”risk assessment").
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
8
Art 5 - Modalità di accesso ed utilizzo
L'accesso logico ai sistemi informativi, ed alle risorse che lo compongono, è consentito
previa procedura di identificazione dell'utente, che ne verifica i requisiti di accesso, ed
alla successiva procedura di autenticazione, che ne conferma l'identità.
Il livello minimo di identificazione e autenticazione è costituito dalla combinazione di un
codice personale univoco (USERid) assegnato dall’organismo aziendale competente e da
una password, scelta dall’utente stesso nel rispetto delle norme stabilite.
La modalità di autenticazione può essere superiore al livello minimo descritto, qualora le
criticità delle risorse a cui accedere, o delle funzioni da utilizzare, lo richiedano.
L’utilizzo delle risorse dei sistemi informativi è inoltre sottoposto ad una procedura di
autorizzazione dei permessi di accesso e delle relative abilitazioni di ciascun utente, a sua
volta collegata ad un profilo, ovvero a caratteristiche di tipo:
aziendale (utente interno o esterno, utente di Direzione, etc.),
professionale (ruolo, responsabilità, etc.),
seguendo la logica del “minimo privilegio” (minimo livello di autorizzazione necessario
per svolgere le attività richieste).
Le abilitazioni assegnate a ciascun utente sono sottoposte periodicamente a revisione.
Modalità di utilizzo delle risorse dei sistemi informativi:
ciascun utente dei sistemi è responsabile dell’utilizzo delle risorse informatiche e delle
informazioni, che deve avvenire in coerenza con gli scopi aziendali e nel rispetto della
normativa in vigore, che è tenuto a conoscere per tutti gli aspetti di suo interesse,
l’utente non deve apportare alcuna modifica alle risorse informatiche che riceve in
dotazione,
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
9
l’accesso ad internet, a servizi di internet ed alla casella postale aziendale deve essere
limitato esclusivamente a finalità inerenti l’attività lavorativa, nel rispetto della
riservatezza e dell’integrità dei dati e dei poteri di delega.
Art 6 – Protezione dei dati e delle informazioni
Il fornitore è responsabile della scelta e dell’adozione delle opportune misure di protezione
o mitigazione, determinate attraverso l’attività di analisi del rischio.
I dati e le informazioni generati, utilizzati o circolanti in azienda durante l’attività corrente,
sono definiti riservati, non devono essere divulgati e devono essere adeguatamente
protetti, anche nel tempo, in relazione alla fonte, al supporto di memorizzazione ed alla
tecnologia disponibile.
L’accesso al dato e all’informazione è consentito solo al personale autorizzato.
Ciascun utente deve assicurare la riservatezza delle informazioni dovunque esse risiedano,
adottando adeguate misure di sicurezza.
I dati necessari allo sviluppo e test di Sistemi Informatici sono resi compatibili con la
normativa vigente; in particolare non devono essere riconducibili alle informazioni
personali.
Tutte le basi dati afferenti i sistemi di produzione devono essere soggette a specifici
processi di salvataggio e ripristino con cadenza e periodo di conservazione adeguati alla
criticità di dati memorizzati, in coerenza di necessità individuate dall’utente responsabile e
dai piani di Business Continuity e Disaster Recovery.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
10
Art 7 - Sicurezza e fornitori esterni di servizi
I servizi ed i prodotti dei fornitori devono rispettare le architetture e le normative di
sicurezza definite; gli uffici che acquisiscono tali servizi e prodotti hanno la responsabilità di
verificarne la rispondenza.
Il personale dei fornitori deve sottostare alle normative di sicurezza in vigore; il fornitore è
responsabile dell'effettiva applicazione delle norme di sicurezza informatica da parte del
personale che a lui riferisce.
Il personale esterno che accede agli stabili aziendali deve essere preventivamente
identificato e autorizzato.
In caso di esternalizzazione di funzioni dei fornitori, devono essere osservati i principi
generali ed i requisiti minimi indicati nella presente Policy.
I contratti con sub-fornitori, oltre a rispettare quanto previsto dal contratto di servizio e
dalle normative vigenti, devono prevedere almeno:
la definizione delle responsabilità per quanto attiene alla sicurezza,
la sottoscrizione di una clausola di Non Disclosure Agreement (NDA), con cui i fornitori
si impegnano a gestire in modo riservato e con piena responsabilità le informazioni
apprese,
i diritti di revisione dei termini contrattuali, di recesso o di risarcimento, per danno
derivante da operato non conforme o non diligente alle procedure di sicurezza,
la definizione delle responsabilità assunte ai sensi del Decreto Legislativo n. 196 del 30
giugno 2003 relativo al "Codice in materia di protezione dei dati personali" e del
Regolamento Ue 2016/679 (c.d. del GDPR).
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
11
Art 8 - Conformità (compliance)
Le politiche e le normative di sicurezza sono mantenute conformi con quanto stabilito dalle
leggi e dalle disposizioni, inerenti alla sicurezza di informazioni e risorse informatiche, in
vigore in Italia, in particolare:
il Decreto Legislativo n. 196 del 30 giugno 2003 relativo al "Codice in materia di
protezione dei dati personali",
il Decreto Legislativo n. 231 del 8 giugno 2001 relativo alla "Disciplina della
responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni
anche prive di personalità giuridica",
la legge sui diritti di autore e la proprietà del software (Legge n. 633/1941 e successive
modifiche ed integrazioni),
la legge n. 300/1970 ("Statuto dei Lavoratori"),
gli accordi nazionali ed aziendali tempo per tempo vigenti,
le disposizioni impartite dagli organismi di vigilanza e controllo (Banca d'Italia, Consob,
etc.),
Regolamento Ue 2016/679 (c.d. GDPR), relativo alla protezione delle persone fisiche
con riguardo al trattamento e alla libera circolazione dei dati personali.
Art 9 - Tracciamento e monitoraggio
Per assicurare il controllo degli eventi connessi all'utilizzo dei sistemi informativi e
garantirne il livello di sicurezza, vengono raccolte e conservate tracce e messaggi di
sistema ed altre evidenze relative all'utilizzo delle risorse informatiche. Il livello di
tracciamento (ad es. tipo e frequenza degli eventi da registrare, identificativi delle
operazioni svolte e dell'utente che le ha effettuate) e le relative politiche di conservazione
dei dati raccolti, devono essere adeguati alla criticità del dato, alle informazioni trattate ed
alle tecnologie disponibili.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a
R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
12
I dati raccolti vengono sottoposti ad una sistematica attività di monitoraggio per analizzare
e valutare le vulnerabilità di sicurezza ed eventuali situazioni anomale, al fine di mettere a
punto le opportune contromisure ed i conseguenti piani di intervento.
Tutti gli eventi riconducibili ad un incidente di sicurezza informatica vengono registrati,
gestiti e corretti secondo i processi stabiliti nella specifica normativa interna di gestione
degli incidenti IT.
Art 10 - Comunicazione del Regolamento di Information Security
La presente Policy è comunicata a tutto il personale e alle terze parti coinvolte nel
trattamento e nella gestione di informazioni e componenti dei sistemi informativi.