Fassung 2 / Edizione n°2 vom / del 15.12.2011
Seite / Pag. 62/64
22.
PROTOCOLLO GENERALE DI PREVENZIONE E SICUREZZA INFORMATICA
22.1. GESTIONE DI ACCESSI, ACCOUNT E PROFILI
Con riferimento alla gestione degli accessi:
−
deve essere prevista la definizione formale, individuale ed univoca, dei requisiti di autenticazione ai sistemi per l’accesso
ai dati - i codici identificativi (user-id) per l’accesso alle applicazioni ed alla rete;
−
la corretta gestione delle password deve essere definita da linee guida, comunicate a tutti gli utenti per la selezione e
l’utilizzo della parola chiave;
−
devono essere definite apposite regole per la creazione delle password di accesso alla rete, delle applicazioni, del
patrimonio informativo della Società e dei sistemi critici o sensibili (ad esempio: lunghezza minima della password, regole
di complessità, scadenza, ecc.).
Devono essere individuate modalità specifiche per l’assegnazione dell’accesso remoto ai sistemi da parte di soggetti terzi,
quali consulenti, fornitori.
Gli accessi effettuati sugli applicativi dagli utenti devono essere oggetto di verifiche e, per quanto concerne l’ambito dei dati
sensibili, le applicazioni devono tener traccia delle modifiche ai dati compiute dagli utenti e devono essere attivati controlli che
identificano variazioni di massa nei database.
Con riferimento alla gestione di account e di profili di accesso, deve essere disciplinata:
−
l’esistenza di un sistema formale di autorizzazione e registrazione dell’attribuzione, modifica e cancellazione dei profili di
accesso ai sistemi; la formalizzazione di procedure per l’assegnazione e l’utilizzo di privilegi speciali (amministratore di
sistema, super user, ecc.);
−
l’esecuzione di verifiche periodiche dei profili utente al fine di convalidare il livello di responsabilità dei singoli con i privilegi
concessi.
22.2. GESTIONE DELLE RETI DI TELECOMUNICAZIONE
Con riferimento alla gestione delle reti, devono essere:
−
definite le relative responsabilità;
−
implementati controlli di sicurezza al fine di garantire la riservatezza dei dati all’interno della rete e dei dati in transito su
reti pubbliche;
−
adottati meccanismi di segregazione delle reti e di strumenti di monitoraggio del traffico di rete (sistemi IDS);
−
implementati meccanismi di tracciatura degli eventi di sicurezza sulle reti quali, a titolo esemplificativo, tentativi di
accessi, accessi anomali per frequenza, modalità, temporalità, accessi a sotto-domini, lancio di script, routine su siti
anomali ed operazioni su sistemi critici.
Devono essere individuate le responsabilità e le modalità operative per l’implementazione e la manutenzione delle reti